Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Специалист по защите информации. Кто хранит чужие тайны». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Вначале система информационной безопасности разрабатывались для нужд военных. Стратегические данные, касающиеся обороноспособности, были настолько важны, что их утечка могла привести к огромным людским потерям. Соответственно, компьютерная безопасность обратилась к опыту криптографии, то есть шифрования. Появлялись криптошрифты и специальные программы, позволяющие автоматизировать процесс шифровки и дешифровки.
Позже, когда необходимость защиты информации распространилась на иные сферы, стало понятно, что иногда шифрование сильно затрудняет и замедляет передачу и использование данных. А с развитием компьютерных сетей и систем стали появляться другие задачи.
Со временем появилась классификация тайн, которые необходимо защищать. Они составили шесть категорий: государственная тайна, коммерческая, банковская, профессиональная, служебная и персональные данные. Понятно, что для разных отраслей и типов предприятий приоритетными оказываются одна или две категории. Производству, связанному с наукой, например, крайне важно предотвратить утечку планов, новых разработок и испытаний.
Специалисты считают, что сегодня, в отличие от прошлых десятилетий, больше внимания уделяется двум вещам: доступности и целостности информации. Доступность означает тот факт, что каждый пользователь может в любое время затребовать необходимый сервис и работать в нем без осложнений. С другой стороны — во время хранения и передачи информация должна оставаться целостной. Особенно актуально это, например, для банков, где важно не допустить изменения реквизитов, приписывания лишних ноликов. В то же время, провайдерам или операторам связи абсолютно необходимо сохранять доступность и безотказность работы информационных систем (сервера, узла связи), потому что именно это является основой успеха.
Кто может назвать себя специалистом по ИБ?
Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом. Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.
Как стать специалистом по информационной безопасности, и сколько времени на это потребуется
Все зависит от того, кто находится на старте.
Обычно в инфобезопасность идут люди, уже имеющие опыт работы системным администратором; в этом случае, чтобы стать специалистом по безопасности, потребуется порядка полугода.
Тем, кто не имеет профильного образования, только чтобы выйти на уровень джуниора, потребуется порядка двух лет напряженной учебы и работы.
Любому специалисту придется изучать международные практики и стандарты.
Важно!
Обучение в немецких вузах всегда сопровождается практикой, которой отводится существенная доля времени, посвященного учебе. Поэтому из вуза выпускается готовый специалист с опытом работы.
Как найти хорошего специалиста по ИБ?
Объективно оценить профессионализм специалиста по ИБ можно только на практике — работодателей всегда интересуют реальный опыт, они хотят знать, что человек умеет, с какими задачами сталкивался и как их решал.
Кто изучал рынок, тот понимает — дефицит специалистов по информационной безопасности определенно есть. Часто происходит так: в компании возникает необходимость в таком специалисте, составляют требования к кандидату, передают кадровикам. Чем жестче требования, тем больше шансов, что кандидатов из свободного поиска придет не больше нуля. Почему? Потому что эксперты по ИБ резюме в открытый доступ обычно не вывешивают. Если им захочется поменять работу, они легко ее сменят через свои контакты. Но что делать компании-работодателю?
Если для компании это приемлемо, можно попытаться переманить профессионала из других фирм. Можно рискнуть и взять новичка и попробовать вырастить спеца самостоятельно — взять подходящего кандидата из своих и вложить в него недостающий пакет знаний и навыков. Этот вариант хорош тем, что такому специалисту не придется «акклиматизироваться» — он уже знаком со сложившимися подходами к организации рабочих процессов, продуктом, корпоративной культурой. В качестве потенциальных кандидатов на переквалификацию можно рассматривать безопасников-технарей и разработчиков — они ближе всех к инфобезу.
Что должен знать и уметь специалист по информационной безопасности?
Требования к специалистам по информационной безопасности:
- Анализ защищённости веб-приложений и сетевой инфраструктуры
- Проведение аудита безопасности
- Подготовка документации и отчётов по результатам тестирований
- Владение инструментами: sqlmap, Snort, Burp Suite, Volatility, MSF, Nmap, IDA, Nessus w3af, BeEf, hashcat
- Разработка рекомендаций по безопасности
- Проведение тестов на проникновение
- Реверс-инжиниринг
- Знание основ шифрования
- Анализ вредоносного ПО.
Как стать специалистом по информационной безопасности и где учиться?
Варианты обучения для специалиста по информационной безопасности с нуля:
- Самостоятельное обучение – всевозможные видео на YouTube, книги, форумы, самоучители и т.д. Плюсы – дешево или очень недорого. Минусы – нет системности, самостоятельное обучение может оказаться неэффективным, полученные навыки могут оказаться невостребованными у работодателя;
- Классическое оффлайн-образование в ВУЗах, колледжах и университетах. Диплом является преимуществом при устройстве на работу, при этом обучение обычно длится не менее четырех лет, часто дают устаревшие неактуальные знания;
- Онлайн-обучение. Пройти курс можно на одной из образовательных платформ. Такие курсы рассчитаны на людей без особой подготовки, поэтому подойдут большинству людей. Обычно упор в онлайн-обучении делается на практику – это позволяет быстро пополнить портфолио и устроиться на работу сразу после обучения.
Ниже сделали обзор 15+ лучших онлайн-курсов.
Плюсы и минусы работы в области информационной безопасности
Преимуществ у этой профессии немало, именно благодаря им многие стремятся получить соответствующее образование и приступить к работе в IT-сфере.
- Стабильно высокий спрос на рынке труда. Специалисты в этой сфере востребованы всегда, и тенденция сохранится еще долго.
- Возможность достойно зарабатывать. Точный ответ на вопрос, сколько зарабатывает специалист по информационной безопасности, зависит от уровня его знаний, опыта и масштаба бизнеса, в котором он занят, но в целом зарплаты в сфере IT всегда выше среднерыночных.
- Перспектива карьерного роста. При наличии таких условий, как аналитический склад ума, оперативность мышления и умение решать несколько задач одновременно можно рассчитывать на продвижение по профессиональной лестнице.
- Постоянного повышение квалификации за счет работодателя. Как правило, компании стремятся обеспечить сотрудникам IT-отдела возможность изучать передовые технологии и совершенствовать свои навыки.
Что запрещено делать с тайной
У коммерческой тайны один принцип: ее надо охранять от посторонних и самим не разглашать. Кажется, это очевидно и не надо объяснять что-то еще. Это не всегда так.
Магазин заказывает разработку ЦРМ и подписал договор с айти-компанией.
Магазин против пересылки рабочих файлов на личную почту, но не написал об этом в договоре. Сотрудники не догадались, что так нельзя, и пересылали файлы всё время, пока работали над ЦРМ.
Описание запрещенных действий — защита от слива секретов по неосторожности. Магазин из нашего примера рисковал утечкой сведений, хотя мог бы избежать риска, если бы написал об этом в договоре.
Список запрещенных действий помогает защититься в суде. У суда подход такой: раз компания не предупредила о запретах — значит, люди с доступом к секретам могли не понять, чего нельзя делать.
Чтобы оставить возможность наказать нарушителя, прописывайте в договоре, что запрещено. Это можно сделать так:
Сведения, которые относятся к коммерческой тайне, запрещено:
- пересылать на любую почту кроме рабочей;
- копировать в нерабочие облачные хранилища, на флешки, диски и на другие устройства;
- распечатывать копии и выносить из офиса;
- выбрасывать документы, пока их не порезал шредер.
Чем точнее список запретов, тем проще доказать в суде ответственность партнера: вы предупредили, что так делать нельзя, партнер под этим подписался, а потом нарушил.
Штраф за нарушение условий тайны
Закон разрешает наказывать обидчика за нарушение условий коммерческой тайны. Можно взять деньги или добиться уголовного срока. Мы не будем говорить о сроке, лучше поговорим о деньгах.
У компании два варианта: получить возмещение убытка или конкретную сумму. Скорее всего, просто так обидчик деньги не отдаст, поэтому придется судиться.
Суд определяет, сколько получит компания. Для этого он слушает аргументы обидчика и компании, которая потеряла секреты. Если компания хочет возмещение убытка, придется доказывать, что она потеряла деньги из-за разглашения секрета, а не по другим причинам.
Магазин закупается у поставщика. Поставщик вычислил популярные товары и рассказал о них конкуренту магазина, а тот провел под эти товары рекламную акцию: скидки, ленточки, баннеры. Покупатели узнали и перешли к конкуренту.
Действия субъекта в случае незаконного распространения ПДн
Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:
- обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
- подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
- обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.
Как объяснить человеку, далекому от IT, чем занимается специалист по информационной безопасности?
У меня для этого есть фраза: «Представь, что мошенники обманули клиента твоей компании: вместо того, чтобы принести деньги тебе, он принес их другим людям. А с претензией он вернется в твою компанию. В итоге ты в двойном минусе — и финансово, и репутационно. И я делаю всё для того, чтобы этого не случилось».
Лично я провожу встречи с клиентами из разных отраслей: банков, ритейла, страхования, e-commerce и прочее. Но несмотря на то, что я — руководитель, часть работ я продолжаю делать руками, чтобы мозг не переставал работать, был заточен и под управленческие, и под «ручные» задачи. Я вообще считаю, что учиться нужно всегда, поэтому сейчас активно изучаю скрипты, веб-программирование, веб-интерфейсы. Мне это нужно для работы, чтобы не происходило следующего: ты открываешь код одной из страниц мошеннического сайта, смотришь на него полчаса и не понимаешь, что делать.
Где нужны этичные хакеры
Самым большим спросом пентестер пользуются у компаний, которые хранят личные данные клиентов, — интернет-магазины, социальные сети, инвестиционные платформы и другие. А в некоторых сферах, например в банках и здравоохранении, к услугам пентестеров прибегают, чтобы обеспечить соответствие отраслевым стандартам безопасности. Большие корпорации создают целые отделы по кибербезопасности, чтобы не раскрывать конфиденциальную информацию сторонним организациям.
Однако не все компании могут позволить себе нанять штатного пентестера. Для большинства представителей малого и среднего бизнеса пентест — это разовая или нерегулярная задача. Поэтому специалисты часто работают на фрилансе или в команде, которая специализируется на кибербезопасности.
Возможные угрозы информационной безопасности
Есть много способов нелегального получения информации или ее искажения. Можно, например, сфотографировать важный документ, украсть папку с документами или дискету с информацией, перехватить излучения электронных устройств, обрабатывающих информацию, и т.д.
Угрозы делятся на внешние и внутренние, причем последние представляют особую опасность. Поэтому, прежде всего, убедитесь в лояльности персонала Вашего учреждения. Принимая сотрудника на работу, постарайтесь всеми доступными средствами навести о нем справки. Примените специальные психологические тесты, которые помогут оценить его лояльность и психологические качества. Продумайте систему материального и морального поощрения за сохранение лояльности. Регулярно проверяйте по специальным тестам сотрудников, которые соприкасаются с информацией ограниченного доступа.
Если Вы используете информацию, составляющую государственную тайну, то большинство этих вопросов решится само по себе, когда Ваши сотрудники будут оформлять соответствуюший допуск. Но если подобной информации у Вас нет, то решение этих проблем — Ваша забота. Обязательно оговорите в контракте с сотрудником условия сохранения конфиденциальности не только на период совместной работы, но и на определенный срок после завершения ваших взаимоотношений. Только в этом случае Вы сможете предъявлять какие-либо претензии.
Совет 2 . Проповедуйте принцип «доверяй, но проверяй». До начала построения системы безопасности Вашего учреждения в целом и безопасности информации в частности, убедитесь в лояльности Ваших сотрудников и, особенно, сотрудников службы безопасности. Примите необходимые меры морального и материального плана для поощрения их лояльности — это вселит в Вас уверенность, что в критический момент система безопасности не подведет.
Старайтесь придерживаться комплексного подхода к решению проблемы защиты информации. Для того, чтобы риск Вашей коммерческой деятельности был минимальным, надо оценить всевозможные угрозы безопасности информации с учетом двух факторов: предполагаемой вероятности возникновения угрозы и возможного ущерба от ее осуществления. Объективность оценки угроз достигается детальным анализом функционирования Вашего учреждения и привлечением независимых экспертов.
На страже информационной защиты
Несчётное количество программистов мирового уровня не зря едят свой хлеб с многомиллионных инвестиций в антивирусные разработки. Каждый продукт, разрабатываемый с целью борьбы с максимально широким спектром вредоносного ПО, обладает своими фирменными чертами и особенностями. Именно они в основном и определяют конкурентоспособность антивирусов на практике перед многочисленными виртуальными угрозами. К сожалению, даже не всем сотрудникам антивирусных компаний доверено знать подобную информацию, однако же общий принцип работы программных технологий защиты данных по сей день остаётся неизменным:
- Реактивный подход к обеспечению безопасности. Суть метода — классифицировать и запретить какую-либо вредоносную активность лишь при обнаружении таковой. Подобная технология обладает одним весомым минусом — первые моменты начала работы вируса до его определения могут повлечь за собой определённый ущерб. Худший сценарий — вредоносная активность не будет замечена максимально оперативно при подобной технологии защиты. Яркий тому пример — наделавший шума червь Stuxnet, нанёсший основательный ущерб Иранской ядерной программе. Обнаружен он был исключительно благодаря удачному стечению обстоятельств при неполадках в работе компьютера, совершенно никак не связанных с целью той атаки.
- Проактивные технологии защиты информации. Такая технология запрещает любые действия в компьютерных системах, кроме определённого перечня разрешённых. Процесс внедрения подобной защиты требует немало внимания и усилий, однако же профессиональная настройка позволяет избавиться от нужды в постоянных обновлениях. Помимо этого, обеспечивается более высокий уровень безопасности данных — технология по своей сути способна защитить информацию даже от неизвестных угроз.