Специалисты по обеспечению информационной и программной безопасности систем

Автор статьи:

Специалист по IT-безопасности — кто он?

Специалисты по обеспечению информационной и программной безопасности системСпециалисты по ИБ являются основным эшелоном защиты Компании от воздействия вредоносного кода, несанкционированного доступа в информационную инфраструктуру, а также преступных посягательств посредством социальной инженерии и иных методов воздействия на сотрудников Компании.

Сотрудники службы информационной безопасности могут иметь разные специализации, такие как:

  • специалист в юридическом направлении информационной безопасности обладает навыками правового анализа «свежих» нормативных актов Центрального Банка, Минкомсвязи и иных регуляторов в области информационной безопасности. Такие специалисты являются ценным кадровым ресурсом из-за опыта применения различных нормативных актов регулятора «на практике».
  • специалист организационного направления в информационной безопасности обладает навыками построения системы обеспечения информационной безопасности: построение режимной системы контроля физического доступа, система повышения осведомленности персонала в вопросах информационной безопасности и т.д.
  • технический специалист по информационной безопасности обладает обширными познаниями в направлении применения технических средств защиты информации. Обладает богатым опытом в настройке, оптимальному расположению и общей эксплуатации технических средств защиты информации, таких как: антивирусное ПО, межсетевые экраны, сканеры уязвимостей, DLP-система, SIEM-система, MDM, гипервизор.

Специалист по обеспечению информационной безопасности (ИБ) в законодательстве

За основной нормативный документ, аккумулирующий требования к «ИБшникам» можно взять приказ Министерства труда и социальной защиты РФ г. № 522н «Об утверждении профессионального стандарта «Специалист по защите информации в автоматизированных системах» который был опубликован 15 сентября 2016.

Из содержания данного нормативного документа можно сформировать перечень трудовых функций:

  1. Настройку и внедрение систем защиты информации в информационной инфраструктуре Организации;
  2. Обеспечение защиты информации в автоматизированных системах в процессе их эксплуатации;
  3. Внедрение систем защиты информации автоматизированных систем;
  4. Разработка систем защиты информации автоматизированных систем;
  5. Формирование требований к защите информации в автоматизированных системах.

В свое время, вышеуказанный документ разделяет трудовые функции по уровню квалификации, а также требованиям к кандидатам.

Из вышеперечисленных функций их можно сгруппировать:

Специалисты по обеспечению ИБ

  • Технический специалист по ИБ (пентест) основная функция — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и информационной инфраструктуры в целом, а также рекомендации по совершенствованию защиты информации. Такой специалист обладает знаниями, навыками и опытом, чтобы занимать должность специалиста по интернет безопасности;
  • Технический специалист по ИБ (безопасная разработка) – поиск уязвимостей в коде проектов, написанных на разных языках программирования, определение типовых ошибок кода, использование статического и динамического анализа кода, владение разных инструментов и способность выступать в качестве эксперта для команды разработки;
  • Специалист по ИБ широкого профиля – специалист высокой квалификации, который профессионально владеет навыками по построению системы защиты информации, в направлении выбора и применения организационных мер защиты информации, начиная с применения на практике международных практик, таких как ISO/IEC 27000, заканчивая умением грамотно разработать модель угроз/модель нарушителя. Владеет навыками анализа нормативных актов как отечественных, так и международных.
    Также специалист широкого профиля имеет большой практический опыт в применении технических мер защиты информации в различных направлениях (например, антивирусные средства, СКЗИ, SIEM, DLP), производит активный обмен опытом с коллегами. Данные специалисты обладают навыками проведения аудитов, как внешних, так и внутренних, а также могут дать профессиональную консультацию в области ИБ. Такие специалисты могут занимать как должность руководителя службы ИБ, так и должность аудитора в направлении ИБ.

Специалист по обеспечению программной безопасности – ибешник он или нет?

Отдельный класс специалистов по обеспечению информационной безопасности – ответственные за программную безопасность. Под программной безопасностью можно понимать два принципиально разных направления:

  • Безопасность приложения
  • Безопасность разработки приложения.

И то, и другое, включает комплекс техническим и организационных мероприятий. Специалист по безопасности здесь – не программист, и даже не тестировщик. Он должен разработать документацию, такую как Задание по безопасности, Требования по безопасной установке и прочее, а также проверить соответствие разработанного продукта и/или процесса разработки требованиям документации. С технической стороны проверке подлежит исходный код (статическое, динамическое тестирование) и пентест готового приложения. Есть и нормативные требования в данной тематике, например ГОСТ 15408.

В совокупности эти компетенции сочетает в себе хороший ибешник, просто работающий в данной сфере.

Каким же должен быть специалист по защите информационных технологий. Требования к кандидату

На основании вышеизложенного можно сделать выводы, что специалист по обеспечению информационной и программной безопасности должен иметь соответствующее высшее образование, обладать навыками: по поиску уязвимостей, построению систем защиты информации, по исследованию безопасности веб-сайтов, мобильных приложений, программных платформ и информационной инфраструктуры, анализа нормативных актов, проведения аудитов, как внешних, так и внутренних.

Также специалист по информационной безопасности, должен проходить соответствующие курсы повышения квалификации и иметь соответствующие сертификаты.

Специалист по ИБ Гончаров Андрей

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги