4 Сентября, 2013

Образование в сфере информационной безопасности: всё грустно

Роман Идов
Сегодня об информационной безопасности модно много говорить и писать, поскольку важность её обеспечения для бизнеса и государства в последние годы возросла многократно. Однако, вместе с тем, количества специалистов по информационной безопасности (далее для простоты - безопасников), которых сегодня готовят ВУЗы, явно недостаточно для сегодняшних условий на рынке труда.
Заработная плата безопасников заметно отличается в большую сторону от среднестатистической по России: в Москве профессиональные безопасники могут претендовать на суммы до 120 тысяч рублей в месяц. За эти деньги, конечно, нужно не только пить кофе и читать новости, но и работать
Естественно, от безопасника требуются определенные навыки, которые находятся на пересечении таких областей знаний, как информационные технологии, юриспруденция, психология и даже в некоторой степени криминалистика. Часто на первый план выступают аналитические способности специалиста, которые необходимы как для оценки качества работы созданной им системы обеспечения ИБ, так и для расследования инцидентов, связанных с несанкционированным доступом и утечками конфиденциальных данных.
Сегодня в России большинство специалистов по информационной безопасности, особенно на достаточно высоких должностях (ИБ-директор, заместитель генерального директора по ИБ и т.д.), можно разделить на две группы. Первая, более многочисленная, ‑ это выходцы из «органов», которые в силу своей подкованности в компьютерах смогли переквалифицироваться в специалистов по ИБ. Вторая – это ИТ-специалисты, которые вынуждены были переквалифицироваться в силу каких-то жизненных обстоятельств или «производственной необходимости» для той компании, в которой они работали. Фактически, специалистов по информационной безопасности, которые получили бы профильное образование в этой области, сегодня на рынке труда практически нет, поскольку само образование в сфере ИБ сегодня является скорее экзотикой, чем распространенной для российских ВУЗов практикой.
Сегодня, впрочем, достаточно легко найти связанные с ИБ специальности в отечественных ВУЗах – достаточно воспользоваться поиском с помощью тех же «Гугла» или «Яндекса». В одной только Москве более двадцати ВУЗов предлагают абитуриентам специальности, связанные с обеспечением информационной безопасности. Среди них ‑ Московский государственный технический университет имени Н.Э. Баумана, Московский финансово-юридический университет МФЮА. Международная академия бизнеса и управления, Московский государственный университет приборостроения и информатики, Московский авиационный институт (государственный технический университет).
Но вряд ли все, кто закончит соответствующие отделения, сможет полноценно работать по специальности, так как зачастую под модными названиями скрываются устаревшие специальности, на которых вместо профильных курсов преподают то, студенту никак не пригодится в его будущей профессиональной практике.
Но с ВУЗами, которые готовят безопасников, всё сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь. Не зря сегодня информационной безопасностью в России занимаются, в основном, по большому счету, самоучки, которые почерпнули необходимые знания в ходе изучения практических пособий и общения с другими, более опытными специалистами

Тем не менее, сегодня всё большее количество работодателей указывает в требованиях для нанимаемого ими ИБ-специалиста профильное образование. Вот такой парадокс, который лично мне достаточно трудно объяснить. Как и трудно сказать, когда ВУЗовское ИБ-образование перестанет быть образованием ради "корочки", и станет полноценным средством подготовки специалистов.
А у вас какое мнение по данному вопросу?
или введите имя

CAPTCHA
Владимир
4 Сентября, 2013
специалисты
А много реальных, профильных спецов по ИБ работает в серчинформе?
0 |
  • Поделиться
  • Ссылка
Виталий
4 Сентября, 2013
специалисты
много, и большая часть из них - специалисты "хоть куда"!!!
0 |
Сергей
4 Сентября, 2013
зачем хамите!
там работают добрые и отзывчивые люди. они могут вас запросто вычислить по IP, не надо хамить.
0 |
Виталий
4 Сентября, 2013
специалисты
127.0.0.1
0 |
Вычислитель "хоть куда"
4 Сентября, 2013
Ну вот ты и доигра...
<пустое сообщение>
0 |
чепчерицо
5 Сентября, 2013
очевидно, что немного. взглянем на среднестатистического вендора длп-систем. состоит из: отдела сбыта (кол-центр, продажники) отдел разработки (программисты) отдел тестирования (тестировщики) отдел техподдержки (инженеры ТП) всякие прочие нужные люди (техписатели, пиарщики и т.д.) кому из них нужно профильное образование именно в ИБ? если бы тот же серчинформ занимался ещё и расследованием преступлений, то да, вопроса бы не возникло. корректней тогда было бы вопрос задавать "а сколько профильных спецов по ИБ работает в компаниях, занимающихся расследованием инцидентов?"
0 |
Владимир
5 Сентября, 2013
Мда... т.е. следуя Вашей логике работать в компании, которая делает\продает весьма специфичный софт могут работать специалисты не имеющие профильного образования и при этом ее же PR отдел пишет креативы о том, как важно иметь профильных спецов??? наводит на некоторые сомнения... фактически получается вот что... отдела сбыта (кол-центр, продажники) - цыгане с медведями отдел разработки (программисты) - человек осиливший самоучитель по Delphi отдел тестирования (тестировщики) - люди умеющие рандомно тыкать по клаве кнопки отдел техподдержки (инженеры ТП) - ну тут сами написали про инженеров всякие прочие нужные люди (техписатели, пиарщики и т.д.) - люди понимающие смысл кнопки Shift на клаве теперь понятно почему серчинформ позиционирует себя как производитель православного, рассово правильного DLP... при этом DLP как таковым не являющимся...
0 |
чепчерицо
5 Сентября, 2013
0 |
чепчерицо
5 Сентября, 2013
толсто, Владимир, толсто
0 |
Артем
5 Сентября, 2013
Автор статьи считает, что образование нужно. Чепчерицо считает что нет. Кто же их рассудит?
0 |
чепчерицо
5 Сентября, 2013
я считаю, что профильное образование в ИБ нужно не всем, кто работает у вендора. большинству достаточно понимания ИБ. а его можно добиться самостоятельно. исходя из логики Владимира, если топикстартер захочет написать о мотивах инсайдеров, то он сперва должен будет выучиться на психолога?
0 |
Владимир
5 Сентября, 2013
Нет, моя логика в том, что раз уж пиар отдел пишет о таких глобальных проблемах, интересно понять, как у них обстоят дела с такими же проблемами. Раз уж автор пишет про пересечение областей знаний, то реально интересно к примеру понимают ли программисты девелопера, что они пишут с точки зрения ИБ? ИМХО, нельзя писать DLP/DLD софт не понимая, что это такое и как это работает. Чепчерицо, просто не совсем понятен посыл это креатива. Поддержание активности в блоге - да. смысловая нагрузка - 0. Да и на самый первый вопрос то ответ не получен...
0 |
чепчерицо
5 Сентября, 2013
ответ на первый вопрос может дать только кадровик. что до смысловой нагрузки, по-моему, она кроется в последнем предложении поста.
0 |
Владимир
5 Сентября, 2013
Да я думаю и Алексей мог бы приоткрыть завесу тайны. или цифра 0 секретна? про последнее предложение поста. там вопрос.
0 |
Ben Gun
5 Сентября, 2013
What's up, guys?
0 |
Судья Дрэд
5 Сентября, 2013
0 |
Местный
5 Сентября, 2013
да уж побольше чем у вас
0 |
mattgrow
5 Сентября, 2013
Наличие профильного образования по ИБ у сотрудников организаций важно - это одно из требований наших с вами законов по ПД в том числе. Другое дело интеграторы - я бы не сказал, что там ориентируются на образование на собеседовании, скорее этим занимается Hr при отборе кандидатов.
0 |
  • Поделиться
  • Ссылка
Михаил
5 Сентября, 2013
Моё мнение следующее: ВУЗы не готовят специалистом по информационной безопасности таких, которые бы соответствовали сегодняшнему рынку труда. Значит путь в информационную безопасность только из двух областей: ИТ и сотрудников доблестных органов. Первые от вторых как и вторые от первых отличаются очень сильно. Сотрудничество их вместе скорее даёт отрицательный результат чем пользу для компании. Милиционеры лезут во всякие там непонятные дела по расследованию инцидентов, забывая что они находятся уже не в райотделе. А бывшие айтишники - забывая (или вообще не зная) про такие вещи как риск менеджмент пытаются углубляться в глубокие понятия айти. Да конечно и первый и второй вариант нужны для выполнения задач информационной безопасности. Но всё-равно ни те ни те не могут знать такие понятия как риск менеджмент, ISO 2700X, непрерывность бизнеса, TCO, NPV и т.д. Моё мнение - нужно подготовить специалиста, который бы знал и ИТ, и экономику, и риск менеджмент. Если ВУЗы таких специалистов не готовят, то пусть тратят деньги компании, которые испытывают нужды в других специалистах.
0 |
  • Поделиться
  • Ссылка
чепчерицо
5 Сентября, 2013
когда-то на просторах сети наткнулся на интересное мини-исследование. источник, к сожалению, не вспомню. Выборка из 50 вакансий, размещённых на hh.ru с заявленной заработной платой выше 50 000 рублей. Общее необязательное: · Стаж (от 1-2 лет) · Высшее профильное образование (почти везде) · Английский язык на уровне понимания технической документации Общее обязательное: 1. Знание основных требований: - ГОСТ-ов 34.х - ГОСТ-ов 19.х - документов МО РФ - ЕСКД - ЕСПД - СниП, к проектной документации и др. стандартов оформления документов - РД ФСТЭК - РД ФСБ - РД по ИСПДн - СТО БР ИББС - ISO 27.x - ISO 17799 - ISO 13335 2. Навыки написания научно-технической документации, разработки нормативно-методической документации (концепция, политика, регламенты, положения, инструкции и др.) 3. Знание технологий: - МСЭ/Firewalls - антивирусные решения - IDS/IPS - DLP (Zlock) - VipNet - Криптосредства (Сигнал-КОМ, Крипто-Про, Верба-OW) - PKI - СЗИ от НСД (Аккорд-АМДЗ, Аккорд-NT/2000, Соболь, Secret Net, Dallas Lock) - активное сетевое оборудование (Cisco, Nortel, AT Huawei) - криптомаршрутизаторы 4. Знание работы протоколов- TCP/IP, SMTP, POP3, IMAP, FTP, HTTP, LDAP, DNS, IPSec, SSL 5. Знание рынка: - систем безопасности, поставщиков оборудования в данном сегменте - линеек серверного и активного сетевого оборудования ведущих вендоров 6. Знание методов анализа рисков, организационных и технических методов защиты информации, а также технологий и программно-технических средств защиты информации 7. Навыки проведения аудитов ИБ информационных систем, предпроектных обследований объектов защиты 8. Навыки экспертизы выполнения требований по ИБ 9. Базовый уровень технических знаний в области СКУД, систем видеонаблюдения, ОПС, СКС, электрики 10. Знание возможностей и принципов функционирования сетевого оборудования и средств защиты информации от НСД ведущих производителей: аутентификации, контроля и разграничение доступа, обеспечение целостности, обнаружения и предотвращения вторжений, антивирусной защиты, анализа защищенности, межсетевого экранирования 11. Знание порядка проведения специализированных работ по: - Аудиту - Оценке уровня ИБ - Построению систем ИБ - Разработке организационно-распорядительных документов - Проектированию технических подсистем ИБ 12. Желательно прохождении одного или нескольких курсов: - Внутренний аудит - Аудит на соответствие различным стандартам - Безопасность информационных систем и баз данных - Сетевая и прикладная безопасность - Организация защиты конфиденциальной информации 13. Желательно наличие сертификатов: CISSP, CISA, CISM, CCSP 14. Навыки администрирования операционных систем (Windows/Unix) 15. Анализ защищенности сети 16. Мониторинг и анализ сетевой активности в сетевой инфраструктуре 17. Разработка политик сетевой безопасности 18. Знание современных стандартов шифрования 19. Знание Best practice в области построения локальных и территориально распределенных вычислительных сетей (VLAN, VPN и т.д.) 20. Знание Best practice в области построения автоматизированных информационных систем (архитектура клиент-сервер, трехзвенная архитектура, терминальный доступ и т.п.) 21. Умение составлять и читать логические и физические схемы локальных и территориально распределенных вычислительных сетей и автоматизированных информационных систем, в том числе работа в MS Visio 2003/2007/2010 Вывод: работодатель хочет располагать человеком-оркестром, при этом не сильно много ему платить.
0 |
Михаил
5 Сентября, 2013
Ну значит такое писал какой-нибудь сотрудник органов бывший, не понимая вообще что это такое )
0 |
чепчерицо
5 Сентября, 2013
в байках башорга проскакивала как-то история собеседованием из-за разряда "знание такого-то языка программирование и опыт работы в нём не менее 5 лет". соль заключалась в том, что на тот момент самому языку ещё было года 2
0 |
Ушат
5 Сентября, 2013
В результате, чаще всего, нанимают на такие должности говорунов, способных навешать доширака по спецификации, и на этом все успокаиваются - работодатель наслаждается лапшой, соискатель - л_хами и халявной зп. Такое сплошь и рядом, впрочем, очень уж сходятся интересы тех, кто хочет верить и того, кто готов кормить фантазии первых.
0 |
Михаил
5 Сентября, 2013
Лапша на ушах устраивает всех потому, что никто не понимает чем на самом деле должна заниматься информационная безопасность. Мозги людей ещё не дошли до того, что если потеряется договор с ценами на продажу и попадёт к конкурентам, то компания может финансово пострадать. Поэтому пока все и думают что информационная безопасность - это антивирусы ))). А если ещё и кто-то рассказывает такие слова как "комплаенс", "коммуникация", "чистая преведенная стоимость проекта" и т.д., то высший руководитель думает, что гений !! Ошибается этот высший руководитель потому что, снова таки, наши люди ещё не понимают что такое инф безопасность. Менталитет у нас ещё такой советский )
0 |
Владимир
5 Сентября, 2013
А мне все таки очень интересно количество профильных спецов в то ли иной области, которые работаю у девелопера. Ведь неверное предоставление информции может нанести ущерб ощутимо больший чем утекший документ
0 |
АнтиВладимир
5 Сентября, 2013
товарищ конкурент, залогиньтесь
0 |
Владимир
5 Сентября, 2013
АнтиВладимир смотрит на писателей комментариев как-то дико и свирепо, но в то же время грустно и с недоумением. Короче, материал статей ничего общего с девелопером не имеет. информация секретна. так бы и сказали.
0 |
Ben Gun
5 Сентября, 2013
(chepcheritzzo && Michael && Vladimir ) are right Alexey (Drozd), what are you doing tonight?
0 |
  • Поделиться
  • Ссылка
Алексей
5 Сентября, 2013
Вы ошибаетесь. Образование даем хорошее. ВКА А.Ф.Можайского
Вы ошибаетесь. Образование даем хорошее. ВКА
0 |
  • Поделиться
  • Ссылка
Владимир
6 Сентября, 2013
таки да. приходилось работать с выпускниками - толковые ребята...
0 |
РТФ
6 Сентября, 2013
Какое-то сообщение ни о чем, общие слова и необоснованные выводы. Занимаюсь образовательным процессом в ИБ более 10 лет. Пройденный путь следующий: установление связей с ЗАО, основной профиль которого ИБ, с лабораторией судебной экспертизы Минюста, с ФСБ, с МВД, постоянная закупка оборудования, получение лицензий, обучение сотрудников, получение сертификатов, развитие своей научной тематики в области ИБ, подготовка и консультирование проектов в области ИБ. Сейчас практически все комп-техн экспертизы не по уголовке проходят через нас, происходит реинвестирование. Проводятся курсы по переподготовке. И как следствие, заработная плата преподавателя не оскорбляет человеческое достоинство. Кстати, слухи о большой зарплате специлистов по ИБ сильно преувеличены, молодежь видит это и норовит идти к SAP и CISCO
0 |
  • Поделиться
  • Ссылка
Владимир
6 Сентября, 2013
Какое-то сообщение ни о чем, общие слова и необоснованные выводы. Ну надо ж зряплату получать за написание креативоф.
0 |
Voroshek
7 Сентября, 2013
Вчера мы дали объявление о том, что нам нужен ночной сторож. Ночью нас обокрали.
0 |
  • Поделиться
  • Ссылка
Sergio Aldia
9 Сентября, 2013
МИФИ не упомянули, обидно. В котором наряду с динозаврами (как в хорошем, так и в плохом смысле) обитает достаточное количество аспирантов, готовых возиться с желающими во внеурочное время. Вот Вам и практики, пусть молодые и не особо опытные, но тем не менее. Например, радиотехнику нам читал руководитель отдела ИБ одного крупного банка. Разумеется, на занятиях мы занимались совсем не теорией волн, как может показаться со стороны при взгляде на расписание. Вывод - высшее образование в области ИБ, конечно, хромает, но всё же лучше с ним,ч ем без.
0 |
  • Поделиться
  • Ссылка