- Инженер по безопасности компьютерных систем и сетей
- II. Описание трудовых функций, входящих в профессиональный стандарт (функциональная карта вида профессиональной деятельности)
- III. Характеристика обобщенных трудовых функций
- 3.1. Обобщенная трудовая функция
- Чем занимается инженер по безопасности и как им стать
- Что такое информационная безопасность и почему востребованы такие специалисты
- Чем занимается инженер по безопасности
- Как стать инженером по безопасности
- Что поможет учиться и развиваться в профессии
Инженер по безопасности компьютерных систем и сетей
Защита информации в компьютерных системах и сетях
(наименование вида профессиональной деятельности)
Основная цель вида профессиональной деятельности:
Обеспечение безопасности информации в компьютерных системах и сетях в условиях существования угроз их информационной безопасности
Разработчики и аналитики программного обеспечения и приложений, не входящие в другие группы
Специалисты по компьютерным сетям
Специалисты-техники по компьютерным сетям и системам
Отнесение к видам экономической деятельности:
Деятельность, связанная с использованием вычислительной техники и информационных технологий, прочая
(наименование вида экономической деятельности)
II. Описание трудовых функций, входящих в профессиональный стандарт (функциональная карта вида профессиональной деятельности)
Обобщенные трудовые функции
Техническое обслуживание средств защиты информации в компьютерных системах и
Техническое обслуживание программно-аппаратных средств защиты информации в операционных системах
Техническое обслуживание программно-аппаратных средств защиты информации в компьютерных сетях
Техническое обслуживание средств защиты информации прикладного и системного программного обеспечения
Администрирование средств защиты информации в компьютерных системах и
Администрирование подсистем защиты информации в операционных системах
Администрирование программно-аппаратных средств защиты информации в компьютерных сетях
Администрирование средств защиты информации прикладного и системного программного обеспечения
Оценивание уровня безопасности компьютерных систем и сетей
Проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации в компьютерных системах и сетях
Разработка требований по защите, формирование политик безопасности компьютерных систем и сетей
Проведение анализа безопасности компьютерных систем
Проведение сертификации программно-аппаратных средств защиты информации
Проведение инструментального мониторинга защищенности компьютерных систем и сетей
Проведение экспертизы при расследовании компьютерных преступлений, правонарушений и инцидентов в компьютерных системах и сетях
Разработка программно-
аппаратных средств защиты информации компьютерных систем и сетей
Разработка требований к программно-аппаратным средствам защиты информации компьютерных систем и сетей
Проектирование программно-аппаратных средств защиты информации компьютерных систем и сетей
Разработка и тестирование средств защиты информации компьютерных систем и сетей
Сопровождение разработки средств защиты информации компьютерных систем и сетей
Руководство разработкой программно-аппаратных средств защиты информации компьютерных систем и
Руководство разработкой требований к программно-
аппаратным средствам защиты информации компьютерных систем и сетей
Руководство проектированием программно-аппаратных средств защиты информации компьютерных систем и сетей
Руководство разработкой и тестированием средств защиты информации компьютерных систем и сетей
Руководство сопровождением разработки средств защиты информации компьютерных систем и сетей
III. Характеристика обобщенных трудовых функций
3.1. Обобщенная трудовая функция
Техническое обслуживание средств защиты информации в компьютерных системах и сетях
Заимствовано из оригинала
Техник по безопасности компьютерных систем и сетей
Техник по защите информации I категории
Техник по защите информации II категории
Техник по защите информации
Требования к образованию и обучению
Среднее профессиональное образование — программы подготовки специалистов среднего звена
Требования к опыту практической работы
Для должностей с категорией — опыт работы в должности с более низкой (предшествующей) категорией не менее одного года
Особые условия допуска к работе
Рекомендуется дополнительное профессиональное образование — программы повышения квалификации в области информационной безопасности
Чем занимается инженер по безопасности и как им стать
Зачем компании нанимают инженеров по информационной безопасности, какие задачи они решают и что нужно уметь специалисту? Рассказывает Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтех.
Что такое информационная безопасность и почему востребованы такие специалисты
Информационная безопасность — кросс-дисциплинарная наука, которая не может существовать сама по себе. Поэтому инженер по информационной безопасности — это разносторонне развитый специалист, который глубоко разбирается в своей сфере и параллельно владеет смежными областями: информатикой, информационными технологиями и математикой. Это и делает профессию такой захватывающей и многогранной.
Спрос на информационную безопасность сильно растёт в последнее время. Громкие взломы, утечки данных, а также государственная регуляция в разных странах заставляют компании уделять всё больше внимания защите.
Безопасность становится важным элементом бизнеса, без которого он не может существовать и получать инвестиции.
Чем занимается инженер по безопасности
Многие представляют инженера по информационной безопасности как хакера из фильмов. Он использует секретные техники и технологии и может взломать самый защищённый сервер или украсть все биткоины в мире. В этом даже есть доля правды. Например, создатели знаменитого сериала про хакера «Мистер Робот» специально использовали существующие техники и уязвимости, пытаясь приблизить происходящее на экране к реальности. Но на самом деле не всё так романтично, работа инженера немного отличается.
Можно попробовать образно поделить безопасность на offensive- и defensive-часть.
Offensive — здесь инженер ищет пути взлома сервисов и описывает проблемы, которые нашёл, в аудиторском отчёте. Offensive чаще встречается в консалтинговых компаниях и нацелена на то, чтобы найти уязвимости у заказчика и рассказать, как можно использовать их во вред компании и как их исправить.
Defensive важна для продуктовых компаний — например для Яндекса — и направлена на улучшение безопасности сервисов и самой компании. В отличие от offensive, в defensive инженеры не только ищут способы взлома сервисов, но и создают собственные системы безопасности, которые помогают защитить компанию от злоумышленников.
Вот список задач, с которыми сталкивается defensive-инженер:
— Выстраивает безопасный процесс CI/CD, безопасность на этапах жизненного цикла продукта.
— Консультирует по вопросам безопасности администраторов, разработчиков, продуктовых менеджеров.
— Участвует в ревью безопасности новых сервисов, аудите кода, развивает инструменты безопасности.
— Помогает компании получить сертификаты безопасности.
— Участвует в поиске киберзлоумышленников.
— Расследует инциденты, связанные с безопасностью.
— Описывает предлагаемые решения в формате риск-ориентированного подхода.
Как стать инженером по безопасности
Для этого нужно стать хакером (конечно, в хорошем смысле этого слова). Это значит решать сложные технические задачи, которые никто до вас не решал. Пригодится любознательность и умение находить нестандартные подходы к ПО. Вот ещё ряд знаний и навыков, которые нужны инженеру по безопасности.
Английский язык. Один из базовых навыков, без него возможности слишком ограничены. Большинство статей, документации и исследований пишутся на английском. Без знания языка вы также ограничиваете себя в общении с мировым сообществом по безопасности.
Программирование. Инженер должен уметь программировать, чтобы лучше понимать, какие ошибки можно допустить при разработке систем. Сложно представить, как найти уязвимости в коде и «взломать» приложение, ни разу не написав и не спроектировав архитектуру своего.
Программирование поможет автоматизировать рутинные задачи и создать инструменты, которые позволят специалисту и бизнесу получить более безопасные продукты. Мой выбор — Golang и Python.
Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха
Общий кругозор в IT. Изучайте, как работают системы и почему они устроены именно так. Попробуйте спроектировать свой сервис. Например, разберитесь в доставке секретов или протоколе OAuth. В этом помогут материалы по проектированию систем. Такой навык позволит в будущем перейти к моделированию угроз — это невозможно без понимания, как работает ваша система.
Коммуникация. Работа инженера во многом состоит из того, чтобы рассказывать об уязвимостях понятным языком людям с разным опытом — например разработчикам или менеджерам. И часто безопасность — это tradeoff, поэтому умение вести переговоры — важный навык для любого инженера. И здесь поможет развитие эмоционального интеллекта, критического и стратегического мышления. Все эти навыки требуют постоянной практики.
Для меня работа инженера по безопасности — это постоянное изучение нового, движение вперёд, возможность заниматься интересными и сложными задачами, взаимодействуя с большим количеством умных и целеустремлённых людей.
Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха
Что поможет учиться и развиваться в профессии
Курсы и книги. Они могут стать отличным стартом и развитием. Полезные книги и ресурсы можно посмотреть в подборке. Если решите совершенствоваться в безопасности web-приложений, то must have для вас — онлайн-обучение от создателей Burp Suite. А вот статья о том, как стать хакером.
CTF и сообщества. CTF (Capture the Flag) — спортивные соревнования среди инженеров по безопасности в формате игры. Обычно в них участвуют команды — можно присоединиться к уже существующим или создать собственную. Это поможет прокачать хард-скиллы и научиться новому, попробовать найти и эксплуатировать технические недостатки систем на реальных сервисах.
Есть множество сообществ, например при университетах, которые заинтересованы в развитии таких команд. В подобных комьюнити можно делиться знаниями, обсуждать новые техники и уязвимости. Это разовьёт навыки командной работы и решения сложных задач в короткое время. В Санкт-Петербурге, например, существует большое сообщество SPbCTF.
Bugbounty. Это открытые программы по поиску уязвимостей, которые помогают компаниям узнавать о проблемах, а исследователям безопасности — получать вознаграждение и практический опыт. Пользуйтесь такой возможностью, участвуйте также в программах без вознаграждения, так как там проще найти уязвимости. А ещё читайте отчёты и описания других участников: например, подпишитесь на дайджесты публичных репортов с HackerOne или Bugcrowd.
И ещё: не проходите сертификации ради сертификатов, это бесполезное занятие. Смотрите на это как на возможность получить и улучшить практические навыки в той сфере, что вам интересна.
Многие крутые инженеры по безопасности не имеют никаких сертификатов. Но это не значит, что сертификации совсем не нужны. Вот некоторые из тех, что я лично советую. Не зацикливайтесь только на сертификациях по безопасности: возможно, в вашей задаче будут полезны сертификации по сетям и базам данных.
Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха