Специалист по IT-безопасности – кто он?

Специалисты по ИБ являются основным эшелоном защиты Компании от воздействия вредоносного кода, несанкционированного доступа в информационную инфраструктуру, а также преступных посягательств посредством социальной инженерии и иных методов воздействия на сотрудников Компании.

Сотрудники службы информационной безопасности могут иметь разные специализации, такие как:

• специалист в юридическом направлении информационной безопасности обладает навыками правового анализа «свежих» нормативных актов Центрального Банка, Минкомсвязи и иных регуляторов в области информационной безопасности. Такие специалисты являются ценным кадровым ресурсом из-за опыта применения различных нормативных актов регулятора «на практике».
• специалист организационного направления в информационной безопасности обладает навыками построения системы обеспечения информационной безопасности: построение режимной системы контроля физического доступа, система повышения осведомленности персонала в вопросах информационной безопасности и т.д.
• технический специалист по информационной безопасности обладает обширными познаниями в направлении применения технических средств защиты информации. Обладает богатым опытом в настройке, оптимальному расположению и общей эксплуатации технических средств защиты информации, таких как: антивирусное ПО, межсетевые экраны, сканеры уязвимостей, DLP-система, SIEM-система, MDM, гипервизор.

Специалисты по информационной безопасности в законодательстве

За основной нормативный документ, аккумулирующий требования к “ИБшникам” можно взять приказ Министерства труда и социальной защиты РФ г. № 522н “Об утверждении профессионального стандарта “Специалист по защите информации в автоматизированных системах” который был опубликован 15 сентября 2016.

Из содержания данного нормативного документа можно сформировать перечень трудовых функций:

1. Настройку и внедрение систем защиты информации в информационной инфраструктуре Организации;
2. Обеспечение защиты информации в автоматизированных системах в процессе их эксплуатации;
3. Внедрение систем защиты информации автоматизированных систем;
4. Разработка систем защиты информации автоматизированных систем;
5. Формирование требований к защите информации в автоматизированных системах.

В свое время, вышеуказанный документ разделяет трудовые функции по уровню квалификации, а также требованиям к кандидатам.

Из вышеперечисленных функций их можно сгруппировать:

• Технический специалист по ИБ (пентест) основная функция – исследование безопасности веб-сайтов, мобильных приложений, программных платформ и информационной инфраструктуры в целом, а также рекомендации по совершенствованию защиты информации. Такой специалист обладает знаниями, навыками и опытом, чтобы занимать должность специалиста по интернет безопасности;
• Технический специалист по ИБ (безопасная разработка) – поиск уязвимостей в коде проектов, написанных на разных языках программирования, определение типовых ошибок кода, использование статического и динамического анализа кода, владение разных инструментов и способность выступать в качестве эксперта для команды разработки;
• Специалист по ИБ широкого профиля – специалист высокой квалификации, который профессионально владеет навыками по построению системы защиты информации, в направлении выбора и применения организационных мер защиты информации, начиная с применения на практике международных практик, таких как ISO/IEC 27000, заканчивая умением грамотно разработать модель угроз/модель нарушителя. Владеет навыками анализа нормативных актов как отечественных, так и международных.
  Также специалист широкого профиля имеет большой практический опыт в применении технических мер защиты информации в различных направлениях (например, антивирусные средства, СКЗИ, SIEM, DLP), производит активный обмен опытом с коллегами. Данные специалисты обладают навыками проведения аудитов, как внешних, так и внутренних, а также могут дать профессиональную консультацию в области ИБ. Такие специалисты могут занимать как должность руководителя службы ИБ, так и должность аудитора в направлении ИБ.

Специалист по обеспечению программной безопасности – ибешник он или нет?

Отдельный класс специалистов по обеспечению информационной безопасности – ответственные за программную безопасность. Под программной безопасностью можно понимать два принципиально разных направления:

• Безопасность приложения
• Безопасность разработки приложения.

И то, и другое, включает комплекс техническим и организационных мероприятий. Специалист по безопасности здесь – не программист, и даже не тестировщик. Он должен разработать документацию, такую как Задание по безопасности, Требования по безопасной установке и прочее, а также проверить соответствие разработанного продукта и/или процесса разработки требованиям документации. С технической стороны проверке подлежит исходный код (статическое, динамическое тестирование) и пентест готового приложения. Есть и нормативные требования в данной тематике, например ГОСТ 15408.

В совокупности эти компетенции сочетает в себе хороший ибешник, просто работающий в данной сфере.

Каким же должен быть специалист по защите информационных технологий

На основании вышеизложенного можно сделать выводы, что специалист по обеспечению информационной и программной безопасности должен иметь соответствующее высшее образование, обладать навыками: по поиску уязвимостей, построению систем защиты информации, по исследованию безопасности веб-сайтов, мобильных приложений, программных платформ и информационной инфраструктуры, анализа нормативных актов, проведения аудитов, как внешних, так и внутренних.

Также специалист по информационной безопасности, должен проходить соответствующие курсы повышения квалификации и иметь соответствующие сертификаты.

Источник: RTM GROUP