Навыки и требования к специалистам по информационной безопасности. Специалист по информационной безопасности

Техническая защита персональных данных и конфиденциальной информации Ведущий специалист по технической защите информации ЗАО «Калуга Астрал» Шкарпов Алексей Алексеевич

Цели защиты предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Основные технические решения Основные аппаратно - программные средства защиты информации Средства межсетевого экранирования: ViPNet – программный комплекс для построения системы сетевой защиты корпоративных сетей на ОС Windows, Linux, Solaris. АПКШ «Континент» сертифицированный ФСБ и ФСТЭК России аппаратно-программный комплекс шифрования «Континент» является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

Основные аппаратно - программные средства защиты информации Средства защиты информации от несанкционированного доступа: СЗИ от НСД Secret Net Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов (98-ФЗ ("О коммерческой тайне"), 152-ФЗ ("О персональных данных"), ФЗ ("О государственной тайне"), СТО БР (Стандарт Банка России)). Электронный замок «Соболь» это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно- программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Основные аппаратно - программные средства защиты информации СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). СЗИ от НСД Dallas Lock 7.7 предназначена для защиты информации от НСД на ПЭВМ в ЛВС, а также для разграничение полномочий пользователей по доступу к файловой системе и другим ресурсам компьютера. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.

Основные аппаратно - программные средства защиты информации Средства антивирусной защиты информации: Security Studio Endpoint Protection обеспечивает защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений. Обеспечивает безопасную и комфортную работу с сетью Интернет, предотвращая любые попытки проникновения на компьютер вредоносного ПО и блокируя нежелательный трафик.. Kaspersky Work Space Security предлагает защиту рабочих станций, ноутбуков и смартфонов в мультиплатформенных корпоративных сетях. Кроме того, в Kaspersky Work Space Security входит Kaspersky Administration Kit единое решение для эффективного и удобного управления системой защиты всех узлов сети. Dr.Web Enterprise Security Suite – это комплекс продуктов Dr.Web, включающий элементы защиты всех узлов корпоративной сети и единый центр управления для большинства из них. Он предназначен для обеспечения информационной безопасности

Основные аппаратно - программные средства защиты информации Персональное средство аутентификации и хранения данных: eToken Персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью. eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure). eToken может выступать в качестве единой корпоративной карты, служащей для визуальной идентификации сотрудника, для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL), для проведения финансовых транзакций

Инженерно-технические средства обеспечения информационной безопасности Под термином - инженерно-технические средства обеспечения информационной безопасности - далее понимаются инженерно-конструкторские решения и средства защиты информации, применение которых повышает эффективность защиты информации

Способы активной технической защиты: пространственное зашумление, создаваемое генераторами электромагнитных помех; прицельные помехи, генерируемые специальными передатчиками на рабочих частотах ЗУ; акустические и вибрационные помехи, создаваемые приборами виброакустической защиты; зашумление электросетей и телефонных линий, имеющих выход за пределы контролируемой зоны; использование устройств защиты речевой информации, циркулирующей в местах пребывания владельцев сотовых телефонов.

Пространственное зашумление, создаваемое генераторами электромагнитных помех. Под пространственным зашумлением понимается создание в месте расположения ТС электромагнитной помехи, которая ухудшает характеристики канала распространения радиоволн, в результате чего, прием опасного сигнала на границе КЗ объекта невозможен. Наибольшее распространение получили широкополосные генераторы шума (ГШ), создающие равномерную спектральную плотность шумов во всем рабочем диапазоне (обычно - 0, МГц). Примеры широкополосных генераторов шума: SEL SP-113 "Блокада" "Соната-РК2"

Акустические и вибрационные помехи, создаваемые приборами виброакустической защиты В таких случаях применяются системы активной защиты, включающие в себя генератор шума и комплект акустических и вибрационных (очень часто называемых "вибродатчиками") излучателей. Конечная цель развертывания таких систем - создать помеху в полосе частот опасного акустического или вибрационного сигнала, которая не позволяла бы потенциальному противнику осуществить его перехват. Примеры приборов виброакустической защиты: Система защиты помещений"SEL SP-55-4A"

Зашумление электросетей и телефонных линий, имеющих выход за пределы контролируемой зоны. Задача зашумления электросетей и различных линий в значительной степени сходна с задачей пространственного зашумления. Отличие состоит в том, что помеха, понижающая до необходимой величины отношение сигнал шум в месте возможного подключения аппаратуры перехвата, создается не в эфире, а в линии, где обнаружен опасный сигнал. Приборы, предназначенные для активной защиты сетей электропитания, представляют собой генератор шума, создающий в линии сети электропитания сигнал помехи Примеры приборов предназначенных для активной защиты сетей электропитания: «Соната-РС1» Устройство защиты цепей электросети и заземления SEL SP-44

Разработка методов и средств защиты информации является важной составной частью общегосударственного процесса построения системы защиты информации. Построение эффективно работающей системы защиты информации возможно только на основе сочетания правовых, технических и организационных мер. По данным некоторых зарубежных исследований, удельный вес каждого из перечисленных компонентов соответственно составляет: правовые методы - 60%; технические - 30%; организационные - 10%. Из приведенных данных следует, что технические методы занимают одно из важнейших положений по своей значимости. Поэтому технические обеспечение защиты информации рассматривается как приоритетное направление в политике обеспечения информационной безопасности Российской Федерации.

ЗАО «Калуга Астрал» г. Калуга, пер. Теренинский,6, тел. (4842) ,

Несмотря на высокую популярность профессии, обилие информационных ресурсов и материалов в открытом доступе рынок испытывает нехватку квалифицированных кадров, особенно связанных с практической информационной безопасностью.

В данной статье будет раскрыта тема востребованности специалистов по информационной безопасности, специфика требований и навыков.

Cтатистика

Действительно, тема информационной безопасности стала как никогда актуальной - это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.

Даже те компании, штат которых укомплектован специалистами по информационной безопасности, нуждаются в квалифицированной оценке зрелости защитных систем, безопасности периметра, веб-приложений и иных элементов инфраструктуры - показательно всё увеличивающееся количество инициаторов BugBounty программ, причём сумма выплат колеблется от $100 до $20000 за уязвимость.

Вакансии

Обязанности:

• Администрирование межсетевых экранов Cisco ASA и Kerio Connect;
• Администрирования сервера антивирусной защиты, мониторинг состояния клиентов, удаление вирусов, тонкая настройка защиты;
• Поиск уязвимостей с помощью специализированного ПО и их устранение;
• Мониторинг выхода обновлений для ОС, ПО и сетевого оборудования;
• Периодический анализ логов.

• Опыт администрирования ОС Windows от 1-го года;
• Базовые знания ОС Linux от 1-го года, уверенная работа в командной строке;
• Базовые знания работы сетей. IP адресация, статическая маршрутизация, модели ISO OSI, TCP;
• Опыт администрирования Active Directory: настройка групповых политик(GPO), управление правами пользователями;
• Опыт настройки систем защиты от НСД на базе Windows;
• Опыт настройки антивирусных систем;
• Опыт разработки сложных конфигураций межсетевого экрана IPTables;
• Умение настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.

Специалисты с опытом 3-6 лет относятся уже к middle . Навыков и опыта требуется больше, но и уровень заработной платы гораздо выше. Эти специалисты, как правило, имеют хороший технический бэкграунд (системное администрирование, поиск узявимостей), хорошо знают приложения, техники и методологию. Этих специалистов условно можно разделить на два направления - нападение и защита. Универсалов на этом уровне (пентестер + специалист по обеспечению ИБ) - практически не бывает в природе (либо это уже уровень senior). Средняя вилка - 70.000-100.000 рублей.

Специалист по защите информации:

Обязанности:

• Настройка и управление подсистемами безопасности;
• Управление инцидентами безопасности;
• Настройка и управление коммутационным оборудованием;
• Написание скриптов оптимизации управления системами безопасности;
• Управление инфраструктурой предоставления доступов;
• Анализ логов-файлов и журналов событий;
• Участие в сопровождении IT-инфраструктуры Заказчика: обеспечение информационной безопасности и защиты персональных данных;
• Мониторинг и контроль функционирования средств обеспечения ИБ;
• Поддержка работоспособности, администрирование и обеспечение бесперебойной работы специальных средств защиты информации;
• Внесение изменений в настройки средств обеспечения безопасного межсетевого взаимодействия при обнаружении признаков атаки на ВС;
• Контроль нештатной активности внутренних пользователей ВС;
• Анализ инцидентов ИБ и их решение;
• Проведение аудитов, подготовка организационно-распорядительной документации и отчетов по ИБ.

• Высшее образование (ИТ, информационная безопасность);
• Знание принципов построения и функционирования сетей и протоколов стека TCP/IP;
• Знание модели ISO/OSI;
• Понимание принципов компьютерной и сетевой безопасности, безопасности web- приложений;
• Знание принципов работы средств обеспечения безопасности (корпоративные антивирусы,WAF, системы обнаружения вторжений и т.д.);
• Windows и Linux на уровне администратора;
• Опыт автоматизации (bash, perl, python);
• Опыт проведения анализа защищенности;
• Профессиональные знания используемого в инфраструктуре работодателя профильного ПО (от корпоративных антивирусов до DLP/IDS/IPS/SIEM и т.д).

Обязанности:

• Выполнение тестирования информационных сред и программных продуктов компании;
• Тестирование информационных систем на отказоустойчивость;
• Инструментальный анализ информационных систем;
• Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
• Тестирование на проникновение;
• Анализ безопасности исходных кодов программных продуктов.

• Опыт работы по выявлению уязвимостей систем;
• Опыт работы с Burp Suite, Hydra;
• Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
• Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
• Знание принципов построения и работы веб-приложений;
• Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
• Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
• Опыт проведения тестирования на проникновение;
• Опыт проведения аудита систем ИТ и ИБ.

Cпециалисты с опытом работы от 5-6 лет - senior . Как правило это руководящая должность - начальник отдела анализа защищенности; начальник отдела управления информационной безопасности; аналитик; крупный сейл ИБ-вендора; узскопециализированный пентестер. Уровень заработной платы от 120.000 до 200.000 рублей.

Людей из этой категории довольно мало, и, как правило, они «на слуху» в отрасли. Это специалисты, хорошо разбирающиеся в предметной области, и, как правило, имеющие экспертную квалификацию в узкой специализации. Приветствуется опыт выступления на конференциях либо другая общественная активность - значит кандидат следит за трендами и получает своевременную оценку профессионального сообщества.

Из требований здесь встречаются следующие:

• Высшее ИБ/ИТ образование;
• Наличие сертификатов;
• Наличие публикаций и статей в предметной области;
• Опыт публичных выступлений;
• Знание основных методик, классификаций и международных практик (OSSTMM, OWASP, WASC, NIST SP800-115 и др.);
• Навыки выявления угроз ИБ на основе сведений об уязвимостях (классификация угроз, формирование рекомендаций по устранению уязвимостей и минимизации бизнес-рисков);
• Знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов РФ, регулирующих отношения, связанные с защитой информации ограниченного доступа (не относящейся к гостайне), руководящих документов ФСТЭК, ФСБ, в том числе по защите банковской тайны, АСУ ТП, коммерческой тайны, знание СТО БР ИББС, PCI DSS, ISO 27xxx;
• Английский язык;
• Наличие лидерских качеств, умение добиваться поставленных целей, инициативность, активность, навыки самоорганизации, ответственность;
• Умение программировать на одном или нескольких скриптовых языках;
• Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks и Cisco ASA. и т.д);
• Экспертные знания в узкоспециализированных системах: (например SCADA/ERP/SS7/Hardware);
• Опыт разработки собственных средств/утилит/методик;
• Опыт разработки технической и аналитической документации;
• Опыт проведения статистических исследований;
• Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика;
• Опыт участия в крупных проектах по анализу защищенности или аудиту информационной безопасности.

Вершина пирамиды (lead ) - специалисты с опытом от 10 лет. К этой категории относятся CTO, CISO, системный архитектор, team lead. Уровень зарплаты от 200.000. Как правило, это известные люди в отрасли информационной безопасности, с обширным опытом и связями.

Требования/навыки: здесь обычно смотрят на выполненные проекты, направление деятельности. По навыкам могут запросить полный список с предыдущих позиций (а он обычно обширный к этому этапу), либо просто будет указан необходимый результат работы. В случае этих позиций смотрят уже не на знания, а на достижения.

Такие специалисты требуются крупным интеграторам, ИБ-вендорам, крупнейшим технологическим компаниям, финансовой сфере, в государственном секторе.

Подводя итоги

Проблема образования и дальнейшего трудоустройства заключается в извечной проблеме «нет работы, потому что нет опыта, потому, что нет работы…» и читать эту фразу можно по кругу бесконечно. Общепризнанный факт, что диплом сам по себе не дает приоритета. К моменту выпуска бОльшая часть знаний уже не котируется.

Наиболее быстрый и удачный выход из ситуации – самообразование.

УТВЕРЖДАЮ:

[Наименование должности]

_______________________________

_______________________________

[Наименование организации]

_______________________________

_______________________/[Ф.И.О.]/

«______» _______________ 20___ г.

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

Специалиста по защите информации

1. Общие положения

1.1. Настоящая должностная инструкция определяет и регламентирует полномочия, функциональные и должностные обязанности, права и ответственность специалиста по защите информации [Наименование организации в родительном падеже] (далее — Компания).

1.2. Специалист по защите информации назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом руководителя Компании.

1.3. Специалист по защите информации относится к категории специалистов и имеет в подчинении [наименование должностей подчиненных в дательном падеже].

1.4. Специалист по защите информации подчиняется непосредственно [наименование должности непосредственного руководителя в дательном падеже] Компании.

1.5. На должность специалиста по защите информации назначается лицо, имеющее соответствующую квалификацию:

Специалист по защите информации I категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее 3 лет.

Специалист по защите информации II категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации или других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее 3 лет.

Специалист по защите информации: высшее профессиональное (техническое) образование без предъявления требования к стажу работы.

1.6. Специалист по защите информации отвечает за:

• эффективное исполнение поручаемой ему работы;
• соблюдение требований исполнительской, трудовой и технологической дисциплины;
• сохранность находящихся у него на хранении (ставших ему известными) документов (сведений), содержащих (составляющих) коммерческую тайну Компании.

1.7. Специалист по защите информации должен знать:

• законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;
• специализацию учреждения, организации и особенности их деятельности;
• технологию производства в отрасли;
• оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;
• систему организации комплексной защиты информации, действующую в отрасли;
• методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;
• методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;
• технические средства контроля и защиты информации, перспективы и направления их совершенствования;
• методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;
• порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;
• достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;
• методы и средства выполнения расчетов и вычислительных работ;
• основы экономики, организации производства, труда и управления;
• основы трудового законодательства;
• правила и нормы охраны труда.

1.8. Специалист по защите информации в своей деятельности руководствуется:

• локальными актами и организационно-распорядительными документами Компании;
• правилами внутреннего трудового распорядка;
• правилами охраны труда и техники безопасности, обеспечения производственной санитарии и противопожарной защиты;
• указаниями, приказаниями, решениями и поручениями непосредственного руководителя;
• настоящей должностной инструкцией.

1.9. В период временного отсутствия специалиста по защите информации его обязанности возлагаются на [наименование должности заместителя].

2. Должностные обязанности

Специалист по защите информации обязан осуществлять следующие трудовые функции:

2.1. Выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.

2.2. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

2.3. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты.

2.4. Участвует в обследовании объектов защиты, их аттестации и категорировании.

2.5. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.

2.6. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.

2.7. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.

2.8. Участвует в рассмотрении технических заданий на выполнение эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.

2.9. Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование.

2.10. Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

В случае служебной необходимости специалист по защите информации может привлекаться к выполнению своих должностных обязанностей сверхурочно, в порядке, предусмотренном положениями федерального законодательства о труде.

3. Права

Специалист по защите информации имеет право:

3.1. Давать подчиненным ему сотрудникам и службам поручения, задания по кругу вопросов, входящих в его функциональные обязанности.

3.2. Контролировать выполнение производственных заданий, своевременное выполнение отдельных поручений и заданий подчиненными ему службами.

3.3. Запрашивать и получать необходимые материалы и документы, относящиеся к вопросам деятельности специалиста по защите информации, подчиненных ему служб и подразделений.

3.4. Взаимодействовать с другими предприятиями, организациями и учреждениями по производственным и другим вопросам, относящимся к компетенции специалиста по защите информации.

3.5. Подписывать и визировать документы в пределах своей компетенции.

3.6. Вносить на рассмотрение руководителя Компании представления о назначении, перемещении и увольнении работников подчиненных подразделений; предложения об их поощрении или о наложении на них взысканий.

3.7. Пользоваться иными правами, установленными Трудовым кодексом РФ и другими законодательными актами РФ.

4. Ответственность и оценка деятельности

4.1. Специалист по защите информации несет административную, дисциплинарную и материальную (а в отдельных случаях, предусмотренных законодательством РФ, — и уголовную) ответственность за:

4.1.1. Невыполнение или ненадлежащее выполнение служебных указаний непосредственного руководителя.

4.1.2. Невыполнение или ненадлежащее выполнение своих трудовых функций и порученных ему задач.

4.1.3. Неправомерное использование предоставленных служебных полномочий, а также использование их в личных целях.

4.1.4. Недостоверную информацию о состоянии выполнения порученной ему работы.

4.1.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности предприятия и его работникам.

4.1.6. Не обеспечение соблюдения трудовой дисциплины.

4.2. Оценка работы специалиста по защите информации осуществляется:

4.2.1. Непосредственным руководителем — регулярно, в процессе повседневного осуществления работником своих трудовых функций.

4.2.2. Аттестационной комиссией предприятия — периодически, но не реже 1 раза в два года на основании документированных итогов работы за оценочный период.

4.3. Основным критерием оценки работы специалиста по защите информации является качество, полнота и своевременность выполнения им задач, предусмотренных настоящей инструкцией.

5. Условия работы

5.1. Режим работы специалиста по защите информации определяется в соответствии с правилами внутреннего трудового распорядка, установленными в Компании.

6. Право подписи

6.1. Специалисту по защите информации для обеспечения его деятельности предоставляется право подписи организационно-распорядительных документов по вопросам, отнесенным к его компетенции настоящей должностной инструкцией.

С инструкцией ознакомлен ___________/____________/ «____» _______ 20__ г.

Нынешний рынок специалистов по защите информации очень мал. Хорошего специалиста действительно сложно найти. Обычно на эту должность назначают человека, который в прошлом занимался безопасностью в целом или имеет близкое по роду образование. Скажем так, современные работодатели или, по крайней мере, большинство из них не понимают, что из себя должен представлять специалист по защите информации. В нынешнем понимании, это грамотный системный администратор. Но не любой системный администратор может называться специалистом по защите информации! Администрирование сети, обновление антивируса и заправка картриджей - это лишь малая часть всего спектра возможностей, которые дает специалисту по ЗИ ВУЗ. Криптография, документоведение, технические средства охраны объектов, организационная защита информации, информационные процессы в компьютерных системах и другое, - всё это знает и умеет только специалист по защите информации.

На втором курсе ВУЗа мне повезло - меня устроили на завод. Признаться, нисколько не жалею что проработал на этом предприятии шесть лет. Зарплата, конечно, небольшая, но опыта получил предостаточно. Завод - это хорошая школа. Организованное конфиденциальное делопроизводство, первый отдел, защищенные автоматизированные рабочие места, документы с грифом «С» под подпись, уничтожение документов, спецтехника... Но самое важное - это работа по специальности. Закончил я специальность «Организация и технологии защиты информации» (ОиТЗИ). Так и трудился на заводе, в отделе № 3, занимающемся технической защитой информации. Потом появился наш орган по аттестации, где интересного прибавилось. В общем, повторюсь - мне повезло.

В 2010 году наш ВУЗ выпустил очередную группу по специальности ОиТЗИ. И, судя по всему, только единицы работают по профилю. Остальные рабочие места найти не могут. Выпускники моей университетской группы не без проблем, но все же нашли работу. Большинство наших ребят работает по специальности, и они не жалуются. Но что делать тем, кто закончил в 2010 году?

Вариант работать не по профилю я считаю самым последним, если, конечно, диплом вам не нужен только для галочки. Иначе для чего было нужно убивать пять лет упорного труда?

Другой вариант - перебраться в город покрупнее. Я сам пробовал себя в Москве. Было два собеседования. И оба раза меня были готовы взять на работу. Хочу сказать, что работа есть! Если принять во внимание ФЗ-152 «О персональных данных», то работы огромные объемы! По сути, каждый спец по защите информации мог бы быть устроен!

Но тут возникает другая проблема. Мне сказали: «Легко говорить, когда есть опыт. С опытом примут. А что делать, если опыт неоткуда взять?» Действительно, откуда выпускникам данного профиля брать опыт? Получается ситуация как с банками: требуются сотрудники с опытом работы, но без опыта работы в банке ни один банк вас не примет на работу. Вот и получается замкнутый круг: банки без сотрудников с опытом, а сотрудники без необходимого опыта. Так может быть стоит рискнуть и принять на работу человека без опыта?

Рассмотрим ситуацию подробнее. Вот есть некая организация. Сейчас у большинства проблемой является обеспечение безопасности персональных данных (ПДн). Хорошо, если только своих сотрудников. А если обрабатывается база, в которой висят ПДн субъектов, которые не являются вашими работниками? В этом случае проблем становится больше.

Но решается всё достаточно просто. Новый порог по защите ПДн - 1 июля 2011 года. Время есть. Поэтому бежим в ближайшую фирму, которая занимается аудитом информационной безопасности, и, заплатив немаленькие деньги, получаем готовую систему защиты (организационно-правовую) за 3-6 месяцев (при условии, что организация небольшая).

А не выгоднее ли иметь штатного сотрудника, который сделает всё то же самое, но гораздо дешевле? Да, он не имеет опыта. Но в случае сотрудничества с такими специалистами работодатель не несёт финансовых потерь. Здесь нет прямой зависимости. Отсутствие опыта не означает, что специалист сделает работу неправильно. Более того, спец по защите информации имеет предостаточно материала для того, чтобы сделать всю работу быстро и грамотно. В сети существует множество источников знаний по информационной безопасности: типовые формы документов, ГОСТы, описывающие содержание документов... информации море! Отсюда вопрос: почему работодатель не берет в штат специалистов по защите информации? Денег столько, что и на аудит не жаль потратить? Ну, такой организации можно только позавидовать!

Заканчивая статью, хочу обратиться к выпускникам специальностей по информационной безопасности. Золотых гор ждать не стоит. Честно говоря, продавец в отделе торгового центра получает зарплату больше. Работа интересная, но временами довольно однообразная.

Когда я поступал в ВУЗ, эта специальность казалась мне в какой то степени даже романтической. Я рисовал себе разные картины того, чем буду заниматься, куда в последствии устроюсь работать. Наш заведующий кафедрой говорил: «Не беспокойтесь ребята, работать сможете везде!» Обманул? Надеемся, что нет. Если знаете, что будете работать с защитой государственной тайны, совет: съездите за границу отдохнуть! Ведь после того как вам дадут форму допуска, выехать будет проблематично.

Удачи с поисками работы!

Читайте еще