Карьера в информационной безопасности
Константин Михайлович Саматов
© Константин Михайлович Саматов, 2020
Предисловие. О чем и для кого эта книга?
Эта книга о карьере в информационной безопасности, о месте информационной безопасности в безопасности бизнеса, и не только. Книга предназначена, прежде всего, для тех, кто начинает свой путь в информационной безопасности обучается на соответствующих специальностях в средних и высших учебных заведениях. Также книга может быть полезна руководителям и специалистам по работе с персоналом, т.к. в ней изложен опыт автора по адаптации работников в подразделении информационной безопасности, в том числе выпускников учебных заведений, не имеющих практического опыта.
Как возникла идея написания этой книги? Автор более 17 лет является практикующим специалистом в сфере безопасности и значительное количество времени уделял именно вопросам информационной безопасности. Много лет назад у него появилась мысль о том, что если бы в процессе обучения студентов принимали участие реальные практики и умели сочетать подачу теоретического материала со своим практическим опытом, то на выходе получались бы гораздо более квалифицированные и адаптированные к работе в реальном секторе экономики специалисты.
Поэтому, с 2014 года он начал заниматься реализацией этой идеи преподавать, сначала в среднем специальном учебном заведении (колледже), затем в высшем (университете), совмещая преподавательскую деятельность с работой в подразделении информационной безопасности. Общаясь со студентами и затрагивая вопросы карьеры автору, нередко, приходилось наблюдать не совсем верное представление о выбранной профессии.
Помимо работы в учебных заведениях, большой пласт усилий автора был связан с подготовкой кадров непосредственно на рабочих местах это были как студент последних курсов, так и окончившие учебные заведения юноши и девушки, начинающие свой путь в информационной безопасности.
Как следствие и возникла идея рассказать о том, что такое информационная безопасность, о карьере в данной сфере и дать некоторые рекомендации тем, кто ее выбрал: учащимся и выпускникам как строить свою карьеру с нуля, а тем кто занимает руководящие посты как не бояться брать людей без опыта и выращивать из них настоящих профессионалов.
Данная книга не является учебным пособием и не претендует на истину в последней инстанции, основная её цель поделиться собственным опытом, не потратив много времени читателя, изложив его в сжатом виде.
Глава 1. Что такое информационная безопасность?
Не сильно углубляясь в теорию, можно определить «информационную безопасность», как одно из направлений корпоративной безопасности (по сути, одну из составляющих), связанную с обеспечением состояния защищенности информации, т.е. таких ее свойств как конфиденциальность, целостность и доступность (рисунок 1).
В свою очередь «корпоративная безопасность» комплекс мер, направленных на обеспечение информационной, инженерно-технической, экономической, кадровой и юридической безопасности организации, направленных на сохранение и обеспечение нормального осуществления всех процессов (деловых процессов) ее жизнедеятельности.
Рисунок 1. Свойства информации
Таким образом, следует понимать (и это очень важно), что информационная безопасность является составной частью всей безопасности компании (элементом системы) и рассматривать ее изолированно, по мнению автора, не правильно. Информационная безопасность должна рассматриваться в контексте с другими элементами системы безопасности компании и наиболее тесно с кадровой безопасностью, инженерно-технической и юридической, а если брать тенденции последних лет, связанные с переходом активов компаний в электронный вид (т.н. «цифру»), то, пожалуй, еще и с экономической безопасностью.
Важно затронуть и еще одно понятие, тесно связанное с информационной безопасностью и, нередко, используемое в качестве синонима это «защита информации». Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности информации. Иными словами, защита информации это процесс, направленный на достижение состояния информационной безопасности.
Таким образом, синонимом понятия «защита информации» будет являться не безопасность информации (информационная безопасность), а «обеспечение информационной безопасности».
С точки зрения Российского права (ст. 16 Федерального закона от 27.07.2006 149-ФЗ «Об информации, информационных технологиях и о защите информации») защита информации (обеспечение информационной безопасности) представляет собой обеспечение конфиденциальности, целостности и доступности путем принятия:
правовых мер разработка норм права направленных на регулирование отношений в сфере информационной безопасности;
организационных мер организация деловых процессов1 обработки информации;
технических мер применение технических средств для защиты информации и информационных активов2.
По мнению автора, данная классификация может быть дополнена еще т.н. «морально-этическими мерами», заключающимися в работе с людьми (персоналом) и направленными на минимизацию совершения ошибок в процессах обработки информации, а также на недопущение умышленных действий, влекущих нарушение правил информационной безопасности.
Важность понимания указанной классификации вызвана следующим: очень часто, на практике, автору приходилось сталкиваться с мнением о том, что информационная безопасность это деятельность, связанная исключительно с техническими аспектами защиты информации и информационных активов. На самом деле, на практике это совершенно не так.
Что же представляет собой информационная безопасность на практике?
Глава 2. Информационная безопасность на практике
Опираясь на реалии рынка труда и текущие потребности предприятий и организации в специалистах, можно выделить следующие направления в информационной безопасности:
Организационно-правовая безопасность менеджерское направление обеспечения информационной безопасности, его представители обычно занимают такие должности как: «менеджер по информационной безопасности», «менеджер по методологии информационной безопасности», «аналитик», «эксперт по информационной безопасности», «руководитель подразделения (отдела, службы, управления) информационной безопасности». Основной функционал указанных специалистов связан с выстраиванием процессов безопасной обработки информации в организации и их совершенствованием, обеспечением соответствия требованиям внешнего (законы и подзаконные нормативно-правовые акты) и внутреннего (локальные нормативные акты) регулирования.
Техническая безопасность инженерное направление обеспечения информационной безопасности, его представители обычно занимают такие должности как: «техник по защите информации», «инженер по защите информации», «специалист по технической защите информации», «инженер-программист», «инженер-проектировщик», «инженер-архитектор» (систем информационной безопасности), «специалист по анализу защищенности компьютерных систем и сетей», «специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», «технический эксперт». Основной функционал указанных специалистов связан с установкой и настройкой средств и систем защиты информации, обеспечением их бесперебойного функционирования.
Конкурентная разведка и управление репутацией компании. Несмотря на то, что данное направление не относится к «классической» информационной безопасности, на практике, в большинстве случаев, руководитель компании видит указанный функционал именно в специалистах по информационной безопасности.
Остановимся на этих двух направлениях более подробно, чтобы показать их связь с информационной безопасностью.
Конкурентная разведка (англ. Competitive Intelligence) сбор и обработка данных из различных источников, для выработки управленческих решений с целью повышения конкурентоспособности организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа)3. По сути, это особый вид информационно-аналитической работы, позволяющий собирать обширнейшую информацию о юридических и физических лицах без применения специфических методов оперативно-розыскной деятельности, являющихся исключительной прерогативой государственных правоохранительных органов и спецслужб. Именно поэтому, данный вид деятельности часто относят к сфере безопасности.