Журнал "Information Security/ Информационная безопасность" #5, 2019

Если проанализировать рынок Российской Федера- ции, можно заметить, что сертификаты до сих пор не пользуются особым спро- сом. Исключение состав- ляют инженеры-внедренцы, некоторые руководящие позиции и консалтинговые компании. Практика показывает, что для молодых специали- стов это самая неприятная тема, очень мало у кого есть даже начальное осознание того, как все устроено на самом деле. Вместе с моло- дым специалистом мы составляем карту норматив- ной документации (верхнеу- ровневую) с кратким описа- нием, какой регулятор за что отвечает, какие основ- ные документы есть и какой у них статус. ляют инженеры-внедренцы, некоторые руководящие позиции и консалтинговые компании. Получать или нет – каждый решает сам, но в любом случае практически любая сертифика- ция как минимум поможет упо- рядочить и систематизировать знания. Описание основных между- народных сертификаций в обла- сти информационной безопас- ности представлено в таблице 1 . Активная профессиональная и социальная позиция Отмечу еще один важный момент обучения в сфере ИБ: чтобы стать действительно гра- мотным и квалифицированным специалистом, необходимо и думать немного по-другому, а именно иметь несколько взглядов на одну и ту же вещь/проблему. Есть даже такая поговорка: чтобы поймать преступника, нужно думать, как преступник. Желательно постоянно совер- шенствоваться в тех вопросах, с которыми приходится сталки- ваться на работе ежедневно, и при этом изучать методы, используемые условным оппо- нентом, поскольку понимание методов злоумышленника – это очень важная часть работы любого специалиста по инфор- мационной безопасности. Кроме того, по моему убеж- дению, специалист по ИБ дол- жен быть социально ответствен- ным: если он видит потенциаль- ную проблему в реализации рабочих процессов компании (даже если она напрямую не связана с его непосредственной деятельностью), то он как мини- мум должен сообщить сотруд- нику, ответственному за направ- ление, о своих сомнениях. Любая потенциальная проблема может привести к абсолютно реальным рискам. Если существующие риски более чем реальны, а никаких действий не предпри- нимается, нужно вынести про- блему на уровень руководства более высокого звена. Практика обучения молодых сотрудников Приведу примеры того, как мы готовим стажеров и новых сотрудников и проверяем их знания в службе информацион- ной безопасности: l читаем вводные лекции о том, что такое информационная без- опасность на практике; l даем общее понимание про- цессов, составляющих рабочий процесс в каждом отделе и в компании в целом; l проводим знакомство с сетью, а также с сетевыми и защитными решениями, используемыми в организации; l даем задание по изучению с последующим аудитом кор- поративных систем. По резуль- тату аудита любой корпоратив- ной системы мы получаем отчет в свободной форме об обнару- женных недостатках реализо- ванной архитектуры или ошиб- ках конфигурации; l стимулируем получение прак- тических базовых навыков в программировании за счет решения "боевых" задач; l помогаем в систематизации понимания нормативно-право- вой базы и документов регуля- торов. Практика показывает, что для молодых специалистов это самая неприятная тема, очень мало у кого есть даже начальное осознание того, как все устроено на самом деле. Вместе с моло- дым специалистом мы состав- ляем карту нормативной доку- ментации (верхнеуровневую) с кратким описанием, какой регулятор за что отвечает, какие основные документы есть и какой у них статус; l отдельно проходимся по кри- тичным вещам, например 152-ФЗ, 63-ФЗ, 98-ФЗ, базовым доку- ментам основных регуляторов в области информационной без- опасности (ФСТЭК и ФСБ). Крайне приветствуются вопросы о реализованных про- ектных решениях, поскольку они показывают интерес к зада- че и понимание рассматривае- мой системы. Причем вполне реальны ситуации, когда све- жий взгляд помогает оптими- зировать работу того или иного процесса либо уменьшить поверхность для атаки на него. Это дает молодому специалисту прекрасную возможность при- общиться к общему делу и непо- средственно в ходе работы понять многие вещи и процессы в организации. Полезные рекомендации В заключение хочу дать несколько советов для дей- ствующих и будущих сотрудни- ков информационной безопас- ности: l старайтесь учиться тому, что у вас хуже всего получается или с чем вы еще никогда не работали; l развивайте кругозор; l начинайте с истоков – с пер- вого созданного образца вре- доносного программного обес- печения, поскольку, не зная основ и истории, очень тяжело погружаться в современные сложные угрозы; l изучайте верстку сайтов, Linux/Unix, менеджмент, финан- сы, программирование, учите разные иностранные языки и т.д. В нашей работе все это может пригодиться в самый неожиданный момент. l 46 • JOB Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 Более подробно с сертификациями можно ознакомиться в блоге автора таблицы: http://80na20.blogspot.com/2015/03/blog-post_9.html.