Инженер по безопасности компьютерных систем и сетей

Инженер по безопасности компьютерных систем и сетей

Защита информации в компьютерных системах и сетях

(наименование вида профессиональной деятельности)

Основная цель вида профессиональной деятельности:

Обеспечение безопасности информации в компьютерных системах и сетях в условиях существования угроз их информационной безопасности

Разработчики и аналитики программного обеспечения и приложений, не входящие в другие группы

Специалисты по компьютерным сетям

Специалисты-техники по компьютерным сетям и системам

Отнесение к видам экономической деятельности:

Деятельность, связанная с использованием вычислительной техники и информационных технологий, прочая

(наименование вида экономической деятельности)

II. Описание трудовых функций, входящих в профессиональный стандарт (функциональная карта вида профессиональной деятельности)

Обобщенные трудовые функции

Техническое обслуживание средств защиты информации в компьютерных системах и

Техническое обслуживание программно-аппаратных средств защиты информации в операционных системах

Техническое обслуживание программно-аппаратных средств защиты информации в компьютерных сетях

Техническое обслуживание средств защиты информации прикладного и системного программного обеспечения

Администрирование средств защиты информации в компьютерных системах и

Администрирование подсистем защиты информации в операционных системах

Администрирование программно-аппаратных средств защиты информации в компьютерных сетях

Администрирование средств защиты информации прикладного и системного программного обеспечения

Оценивание уровня безопасности компьютерных систем и сетей

Проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации в компьютерных системах и сетях

Разработка требований по защите, формирование политик безопасности компьютерных систем и сетей

Проведение анализа безопасности компьютерных систем

Проведение сертификации программно-аппаратных средств защиты информации

Проведение инструментального мониторинга защищенности компьютерных систем и сетей

Проведение экспертизы при расследовании компьютерных преступлений, правонарушений и инцидентов в компьютерных системах и сетях

Разработка программно-
аппаратных средств защиты информации компьютерных систем и сетей

Разработка требований к программно-аппаратным средствам защиты информации компьютерных систем и сетей

Проектирование программно-аппаратных средств защиты информации компьютерных систем и сетей

Разработка и тестирование средств защиты информации компьютерных систем и сетей

Сопровождение разработки средств защиты информации компьютерных систем и сетей

Руководство разработкой программно-аппаратных средств защиты информации компьютерных систем и

Руководство разработкой требований к программно-
аппаратным средствам защиты информации компьютерных систем и сетей

Читайте также:  Уровень модели osi сетевой адаптер

Руководство проектированием программно-аппаратных средств защиты информации компьютерных систем и сетей

Руководство разработкой и тестированием средств защиты информации компьютерных систем и сетей

Руководство сопровождением разработки средств защиты информации компьютерных систем и сетей

III. Характеристика обобщенных трудовых функций

3.1. Обобщенная трудовая функция

Техническое обслуживание средств защиты информации в компьютерных системах и сетях

Заимствовано из оригинала

Техник по безопасности компьютерных систем и сетей

Техник по защите информации I категории

Техник по защите информации II категории

Техник по защите информации

Требования к образованию и обучению

Среднее профессиональное образование — программы подготовки специалистов среднего звена

Требования к опыту практической работы

Для должностей с категорией — опыт работы в должности с более низкой (предшествующей) категорией не менее одного года

Особые условия допуска к работе

Рекомендуется дополнительное профессиональное образование — программы повышения квалификации в области информационной безопасности

Источник

Чем занимается инженер по безопасности и как им стать

Зачем компании нанимают инженеров по информационной безопасности, какие задачи они решают и что нужно уметь специалисту? Рассказывает Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтех.

Что такое информационная безопасность и почему востребованы такие специалисты

Информационная безопасность — кросс-дисциплинарная наука, которая не может существовать сама по себе. Поэтому инженер по информационной безопасности — это разносторонне развитый специалист, который глубоко разбирается в своей сфере и параллельно владеет смежными областями: информатикой, информационными технологиями и математикой. Это и делает профессию такой захватывающей и многогранной.

Спрос на информационную безопасность сильно растёт в последнее время. Громкие взломы, утечки данных, а также государственная регуляция в разных странах заставляют компании уделять всё больше внимания защите.

Безопасность становится важным элементом бизнеса, без которого он не может существовать и получать инвестиции.

Чем занимается инженер по безопасности

Многие представляют инженера по информационной безопасности как хакера из фильмов. Он использует секретные техники и технологии и может взломать самый защищённый сервер или украсть все биткоины в мире. В этом даже есть доля правды. Например, создатели знаменитого сериала про хакера «Мистер Робот» специально использовали существующие техники и уязвимости, пытаясь приблизить происходящее на экране к реальности. Но на самом деле не всё так романтично, работа инженера немного отличается.

Можно попробовать образно поделить безопасность на offensive- и defensive-часть.

Offensive — здесь инженер ищет пути взлома сервисов и описывает проблемы, которые нашёл, в аудиторском отчёте. Offensive чаще встречается в консалтинговых компаниях и нацелена на то, чтобы найти уязвимости у заказчика и рассказать, как можно использовать их во вред компании и как их исправить.

Читайте также:  Какие топологии сетей вам известны

Defensive важна для продуктовых компаний — например для Яндекса — и направлена на улучшение безопасности сервисов и самой компании. В отличие от offensive, в defensive инженеры не только ищут способы взлома сервисов, но и создают собственные системы безопасности, которые помогают защитить компанию от злоумышленников.

Вот список задач, с которыми сталкивается defensive-инженер:

— Выстраивает безопасный процесс CI/CD, безопасность на этапах жизненного цикла продукта.

— Консультирует по вопросам безопасности администраторов, разработчиков, продуктовых менеджеров.

— Участвует в ревью безопасности новых сервисов, аудите кода, развивает инструменты безопасности.

— Помогает компании получить сертификаты безопасности.

— Участвует в поиске киберзлоумышленников.

— Расследует инциденты, связанные с безопасностью.

— Описывает предлагаемые решения в формате риск-ориентированного подхода.

Как стать инженером по безопасности

Для этого нужно стать хакером (конечно, в хорошем смысле этого слова). Это значит решать сложные технические задачи, которые никто до вас не решал. Пригодится любознательность и умение находить нестандартные подходы к ПО. Вот ещё ряд знаний и навыков, которые нужны инженеру по безопасности.

Английский язык. Один из базовых навыков, без него возможности слишком ограничены. Большинство статей, документации и исследований пишутся на английском. Без знания языка вы также ограничиваете себя в общении с мировым сообществом по безопасности.

Программирование. Инженер должен уметь программировать, чтобы лучше понимать, какие ошибки можно допустить при разработке систем. Сложно представить, как найти уязвимости в коде и «взломать» приложение, ни разу не написав и не спроектировав архитектуру своего.

Программирование поможет автоматизировать рутинные задачи и создать инструменты, которые позволят специалисту и бизнесу получить более безопасные продукты. Мой выбор — Golang и Python.

Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха

Общий кругозор в IT. Изучайте, как работают системы и почему они устроены именно так. Попробуйте спроектировать свой сервис. Например, разберитесь в доставке секретов или протоколе OAuth. В этом помогут материалы по проектированию систем. Такой навык позволит в будущем перейти к моделированию угроз — это невозможно без понимания, как работает ваша система.

Коммуникация. Работа инженера во многом состоит из того, чтобы рассказывать об уязвимостях понятным языком людям с разным опытом — например разработчикам или менеджерам. И часто безопасность — это tradeoff, поэтому умение вести переговоры — важный навык для любого инженера. И здесь поможет развитие эмоционального интеллекта, критического и стратегического мышления. Все эти навыки требуют постоянной практики.

Для меня работа инженера по безопасности — это постоянное изучение нового, движение вперёд, возможность заниматься интересными и сложными задачами, взаимодействуя с большим количеством умных и целеустремлённых людей.

Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха

Что поможет учиться и развиваться в профессии

Курсы и книги. Они могут стать отличным стартом и развитием. Полезные книги и ресурсы можно посмотреть в подборке. Если решите совершенствоваться в безопасности web-приложений, то must have для вас — онлайн-обучение от создателей Burp Suite. А вот статья о том, как стать хакером.

Читайте также:  Изменение топологии сети это

CTF и сообщества. CTF (Capture the Flag) — спортивные соревнования среди инженеров по безопасности в формате игры. Обычно в них участвуют команды — можно присоединиться к уже существующим или создать собственную. Это поможет прокачать хард-скиллы и научиться новому, попробовать найти и эксплуатировать технические недостатки систем на реальных сервисах.

Есть множество сообществ, например при университетах, которые заинтересованы в развитии таких команд. В подобных комьюнити можно делиться знаниями, обсуждать новые техники и уязвимости. Это разовьёт навыки командной работы и решения сложных задач в короткое время. В Санкт-Петербурге, например, существует большое сообщество SPbCTF.

Bugbounty. Это открытые программы по поиску уязвимостей, которые помогают компаниям узнавать о проблемах, а исследователям безопасности — получать вознаграждение и практический опыт. Пользуйтесь такой возможностью, участвуйте также в программах без вознаграждения, так как там проще найти уязвимости. А ещё читайте отчёты и описания других участников: например, подпишитесь на дайджесты публичных репортов с HackerOne или Bugcrowd.

И ещё: не проходите сертификации ради сертификатов, это бесполезное занятие. Смотрите на это как на возможность получить и улучшить практические навыки в той сфере, что вам интересна.

Многие крутые инженеры по безопасности не имеют никаких сертификатов. Но это не значит, что сертификации совсем не нужны. Вот некоторые из тех, что я лично советую. Не зацикливайтесь только на сертификациях по безопасности: возможно, в вашей задаче будут полезны сертификации по сетям и базам данных.

Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха

Источник

Оцените статью
Adblock
detector