Otomatik sistemlerin bilgi güvenliği neyi inceliyor? Mesleği: bilgi güvenliği uzmanı. Bilmeniz ve yapabilmeniz gerekenler

Bilgi uzmanları güvenlik görevlileri, bir bilgi güvenliği sisteminin oluşturulmasında, denetlenmesinde ve izlenmesinde, bilgi risklerinin analiz edilmesinde, bunların önlenmesine yönelik tedbirlerin geliştirilmesinde ve uygulanmasında doğrudan yer alır. Meslek, bilgisayar bilimleriyle ilgilenenler için uygundur (bkz. Okul konularına ilgiye dayalı meslek seçimi).

Yetkinlikleri aynı zamanda teknik bilgi güvenliği araçlarının kurulumunu, konfigürasyonunu ve bakımını da içerir. Güvenlik uzmanları, çalışanlara bilgi güvenliği konularında eğitim verir ve tavsiyelerde bulunur ve düzenleyici ve teknik belgeler geliştirir. Bu konum, bilgi teknolojisi ve güvenlik teknolojisinin iki alanının kesiştiği noktada ortaya çıktı. Bugün ne ticari yapılar ne de FSB gibi departman kuruluşları bilgi güvenliği görevlileri olmadan yapamazlar.

Mesleğin özellikleri

Bu meslek iki alanın kesişme noktasında ortaya çıktı: bilgi teknolojisi ve güvenlik teknolojisi. Günümüzde ne ticari yapılar ne de departman organizasyonları bilgi güvenliği çalışanları olmadan yapamazlar. Kendi çalışanlarının önemli bilgilerin sızmasını, veri sahtekarlığını ve yetersizliklerini (kötü niyetli olmalarını) önlerler. Ulusal ölçekte, bilgi güvenliği uzmanları ülkenin savunma kabiliyetine ilişkin stratejik bilgileri korumak, gizli veritabanları oluşturmak ve nükleer evrak çantasının sırrını saklamak için sistemler oluşturur.

Mesleğin artıları ve eksileri

Artıları:

• bilgi güvenliği alanı hızla geliştiği için işgücü piyasasındaki talep, bu da bu alandaki uzmanlara olan talebin sürekli artacağı anlamına geliyor;
• yüksek ücretler;
• en gelişmiş bilgi güvenliği teknolojilerine hakim olma fırsatı;
• konferans ve seminerlere katılma fırsatı;
• çeşitli uzmanlarla iletişim, faydalı bağlantılar kurma fırsatı.

Eksileri:

• tüm şirket bilgilerinin güvenliğinden sorumlu olmanız gerektiğinden yüksek sorumluluk;
• Sık sık iş gezileri mümkündür.

İş yeri

Kendi bilgisayar ağlarına sahip olan ve kurumsal bilgileri ve önemli ticari bilgileri koruması gereken çeşitli mülkiyet biçimlerine sahip kuruluşlarda.

Önemli nitelikler

İletişim becerileri ve takım halinde çalışabilme becerisi. Koruma sistemlerinin oluşturulması ve ayarlanması birkaç uzmanın ortak çalışmasıdır: korunan şirketin başkanı, bir analist, sistem tasarımcıları ve programcılar. Herkese bir yaklaşım bulmanız ve görevi onların anlayacağı dilde ortaya koyabilmeniz gerekiyor.

Bilgi Güvenliği Uzmanı olma eğitimi

Yüksek öğrenim:

Üniversiteler

Sizi bilgi teknolojisi (BT) üniversiteleri listemizi tanımaya davet ediyoruz.

Bir bilgi güvenliği uzmanı, WEB ortamının tüm teknolojilerini bilmeli, ayrıca erişimi hackleme ve ağlara ve projelere zarar verme yöntemlerini anlamalıdır.

ücret

12/10/2019 itibarıyla maaş

Rusya 25000—80500 ₽

Moskova 40000—200000 ₽

Bir uzmanın ücret düzeyi, şirketin refahı, iş sorumlulukları listesi, uzmanlık alanındaki iş deneyimi ve mesleki becerilerin gelişim düzeyine göre belirlenir.

Kariyer adımları ve beklentiler

Kendi başına bu pozisyon, BT alanında kariyer gelişiminin en yüksek seviyelerinden biridir ve yalnızca bir departman veya bilgi güvenliği departmanı başkanlığı pozisyonunun ötesindedir. Bilgi güvenliği araçlarını ve Windows veya Unix işletim sistemlerini yönetme konusunda eksik veya tamamlanmış yüksek öğrenim ve deneyime sahip BT uzmanları, bu alanda bir kariyere başlayabilirler. İşverenlerin acemi uzmanların mesleki becerilerine yönelik gereksinimleri oldukça ciddidir: nispeten düşük gelirli başvuru sahipleri bile Rusya Federasyonu'nun bilgi güvenliği mevzuatını, ağ işletimi ilkelerini ve kriptografik koruma araçlarını, bilgi güvenliği için modern yazılım ve donanımı bilmelidir. ve bilgi güvenliği teknolojileri. Genç profesyonellerin başkentte güvenebilecekleri maaş 40 bin ruble'den başlıyor.

Bir sonraki seviye, bilgi teknolojisi veya bilgi güvenliği alanında yüksek öğrenim görmüş, bilgi güvenliği alanında en az 2 yıllık deneyime sahip bir uzmandır. Ayrıca, başvuru sahiplerinin bir bilgi güvenliği sisteminin risklerini denetleme ve değerlendirme konusunda deneyime, bilgi güvenliğine ilişkin düzenleyici ve teknik dokümantasyon geliştirme becerisine, uluslararası bilgi güvenliği standartlarına ilişkin bilgiye ve teknik literatürü okuyabilecek düzeyde İngilizce yeterliliğine sahip olmaları gerekir. Yukarıdaki gereksinimleri karşılayan uzmanlar, Moskova'da 80 bin rubleye kadar kazanıyor.

Bilgi güvenliği uzmanı, şirketin bilgi risklerini analiz eden, bunları önlemeye yönelik önlemler geliştiren ve uygulayan kişidir. Sorumlulukları aynı zamanda veri korumasına yönelik teknik araçların kurulumunu, konfigürasyonunu ve bakımını da içerir. Güvenlik uzmanları ayrıca çalışanlara bilgi güvenliği konularında eğitim ve danışmanlık hizmeti veriyor ve düzenleyici ve teknik belgeler geliştiriyor.

Bir bilgi güvenliği uzmanı, özellikle büyük bir şirkette, yalnızca ilginç sorunları çözmekle kalmaz, aynı zamanda büyük sorumluluk da taşır. Yerel bilgisayar ağlarını virüs saldırılarından veya bilgisayar korsanlarından korumak için yönetim ilkelerini iyi anlamalı ve belirli işletmeler için güvenlik sistemleri oluşturabilmelidir. Ayrıca, bilgi güvenliğinden sorumlu çalışanın, diğer çalışanları bilgi güvenliğinin temellerine uyma konusunda eğitmesi gerekir. Bazen, işin devlete ait bir şirkette yürütülmesi durumunda seyahat kısıtlamaları gibi ek yükümlülüklerle kısıtlanır.

Diğer iş unvanları: Bilgi ve iletişim sistemleri koruma teknisyeni, Kıdemli bilgi ve iletişim sistemleri koruma teknisyeni, Veri koruma uzmanı, Güvenlik görevlisi

Sorumluluklar

Veri koruma sistemlerinin oluşturulması ve test edilmesi

Bir bilgi güvenliği uzmanı, bilgi güvenliğini sağlamak için önlemler almak amacıyla kuruluşun materyallerini toplamalı ve analiz etmelidir:

• donanım ve yazılım koruma araçlarını kurun ve yapılandırın;
• devlet, askeri, resmi veya ticari sırları temsil eden bilgilerin olası sızıntı kanallarını bulmak;
• yeni kontrol otomasyon araçlarının, kontrol ekipmanı devrelerinin, modellerinin ve bilgi güvenliği sistemlerinin geliştirilmesine katılmak;
• teknik ve donanım-yazılım bilgi güvenliği araçlarını kurun, yapılandırın ve bakımını yapın

Dokümantasyonun oluşturulması

Standartlara uygun tasarım ve çalışma teknik dokümantasyonunu geliştirmek, hazırlamak güvenlik uzmanının bir diğer görevidir.

• bilgi güvenliği yönetimine yönelik kurallar, düzenlemeler, talimatlar ve diğer organizasyonel ve idari belgeleri hazırlamak;
• Bilgi güvenliği araçlarının iyileştirilmesi ve etkinliğinin artırılmasına yönelik öneriler geliştirmek.

Çalışan danışmanlığı

Bir bilgi güvenliği uzmanı ayrıca şirket çalışanlarına danışmalı ve ortaya çıkan sorunları çözmelerine yardımcı olmalıdır:

• bilgi güvenliği gerekliliklerini dikkate alarak ekibin çalışmalarını organize etmek;
• bilgilerin yasal olarak korunmasını sağlamak;
• koruma nesnelerini inceleyin ve sertifikasyonlarını gerçekleştirin.

Bilmeniz ve yapabilmeniz gerekenler

Kişisel nitelikler

• Sistematik ve esnek düşünme;
• Belirli bir faaliyet sonucuna odaklanın;
• Girişim;
• Planlama ve tasarlama yeteneği;
• İletişim becerileri;
• Organizasyon;
• Sorumluluk;
• Kararlılık;
• Kendi kendine öğrenme yeteneği;
• Stres direnci.

Temel Beceriler

• Bilgi güvenliğinin temellerini anlamak;
• Teknik literatür okuma düzeyinde İngilizce bilgisi;
• C, C#, JAVA, Perl, PHP, JSP, EJB, J2EE vb. çeşitli dillerde programlayabilme.
• Çeşitli işletim sistemlerini yönetme, antivirüs yazılımlarını kurma ve destekleme becerileri;
• Ağ mimarisinin anlaşılması;
• Görevleri doğru şekilde ayarlama yeteneği.

Bilgi Güvenliği Fakültesi'nden mezun olduktan sonra neler yapabilirsiniz, nerede deneyim kazanabilirsiniz? Küçük bir kasabada yaşıyorsanız güvenlik görevlisi olmak için eğitim almak mantıklı mı? GeekBrains'in eğitim projeleri başkanı Sergey Kruchinin tüm bunları anlatacak. Bu kişi Geek Üniversitesi'nin 8 fakültesinin dekanlarının çalışmalarını yönetir ve eğitim planlarını koordine eder.

Sergey, asıl meseleyle başlayalım. Bilgi güvenliği uzmanı geniş bir kavramdır. Tam olarak ne öğretiyorsun?

Öncelikle şunu söylemek isterim ki fakülte programı uygulamalı uzmanlar tarafından geliştirildi. Mail.Ru'nun bilgi güvenliği uzmanı ve fakültemizin dekanı Nikita Stupin'e özel teşekkürler. Mail.Ru Group'ta halihazırda kullanılan en iyi güvenlik uygulamalarını öğrencilerle paylaşacağız.

Kimsenin kafasının karışmaması için bilgi güvenliği (IS) alanında "kağıt" ve pratik çalışma olduğunu anlamalısınız. "Kağıt" uzmanları, güvenlik sisteminin - belgelere göre - yasanın gerekliliklerini karşılayıp karşılamadığını izliyor. Aslında kimsenin aramadığı veya düzeltmediği deliklerle dolu olabilir, ancak belgelerde her şey standarda uygundur.

Bunu yapma

“Kağıt” güvenliğine değil, web uygulamalarının, ağların, ekipmanların ve verilerin pratik güvenliğine odaklanıyoruz. Öğrencilerimiz hack yöntem ve teknolojilerini, hacker araçlarını ve korunacak sistemlerin işleyişini inceleyeceklerdir. Tüm bu bilgiler güvenlik açıklarını bulmak ve kapatmak için gereklidir.

Öğrencilerimiz ayrıca bilgi güvenliğinin "kağıt" tarafıyla da kısaca tanışacak: kurumsal çalışanlara yönelik yönetmelik ve talimatlar hazırlamayı öğrenecekler. Standartlar ve dokümantasyon hiçbir şekilde yararsız değildir ancak gerçek korumanın yerini de almazlar.

- GeekUniversity neden bu özel yolu seçti?

Pratik güvenlik daha önemlidir. Güçlü bir işletme öncelikle sonuçla ilgilenir. Ayrıca pratik yaparak başlamanızı da tavsiye ederim çünkü bu sizi büyük olasılıkla genç ve ilerici bir BT ekibine yönlendirecektir.

“Kağıttaki” boş pozisyonlar daha çok 40-50 yaşları arasındaki, özel bir düşünme biçimine sahip, üniversite eğitimi ve devlet kurumlarında deneyime sahip kişiler tarafından doldurulmaktadır. Olaylara resmi olarak bakıyorlar. Denetim sırasında “Saldırı tespit sisteminiz var mı?” gibi sorular sorarlar. Veya bir şeyi kontrol etmek için istemciden root şifresini isterler. Mezunumuz şifre olmadan ortalama bir makineye bakıp neye ihtiyacı olduğunu görecek ve gerekirse şifreyi kendisi değiştirecektir.

GeekUnivestity'de Mail.Ru Group ve benzeri şirketlerde talep görecek uzmanları eğitiyoruz - örneğin büyük bir posta hizmetinin güvenliğinin sağlanmasına katılabilecekler.

- Bu arada, Mail.Ru Grubu hangi güvenlik alanlarında uzmanlar işe alıyor?

Öncelikler arasında ürün güvenliği (Uygulama Güvenliği) yer alıyor, hatta açık bir pozisyon bile var. Bu alandaki uzmanlar web hizmeti açıklarını bulabilir, SQL enjeksiyonlarını, OS Komut enjeksiyonunu ve daha fazlasını etkisiz hale getirebilir. Altyapı güvenliği uzmanları da talep görmektedir. Yetkinlikleri: ağ düzeyinde koruma (L3, L4, TCP/IP, güvenlik duvarları), işletim sistemi güvenliği (paket ve çekirdek güncellemeleri üzerinde kontrol), şifre politikaları, çevre taraması - liste daha da uzayıp gider.

- Terminolojiyi yeni öğrenenler için web servislerindeki enjeksiyonlar nelerdir?

Bu, uygulamanın beklediği mesaj tanımlayıcı gibi veriler yerine saldırganın ihtiyaç duyduğu komutu girmesi ve betiğin onu yürütmesidir. Dolandırıcı, gizli verilere ve hatta güvenlik açığının bulunduğu makineye erişim elde eder.

- Başka hangi tehditleri bulmayı öğretiyorsunuz?

İkili, kriptografik. Pek çok güvenlik açığı türü vardır. Okul yılının ilk iki çeyreği yalnızca web güvenliğine ayrılmıştır. Bu çok önemli bir yön çünkü iş çevrimdışından çevrimiçine geçiyor ve kullanıcı verileri web'e ve bulutlara gidiyor. Sadece 10 yıl önce taksiler yalnızca telefonla sipariş ediliyordu. Şimdi - esas olarak Uber ve Yandex.Taxi gibi hizmetler aracılığıyla. Ve asıl soru, verilerinize güvendiğiniz web hizmetinin ne kadar güvenli olduğudur.

Site geliştiricileri güvenlikle ilgilenmemişse, az çok ileri düzey bir kullanıcı diğer kişilerin mesajlarını okuyabilir, fotoğraflara bakabilir vb. Programcının dikkatsizliğinden yararlanmak için tasarlanmış bir dizi web güvenlik açığı bulunmaktadır. Saldırganların bu tür güvenlik açıklarını nasıl bulup kullandıklarını, bunun nelere yol açabileceğini ve nasıl önlenebileceğini öğrencilere açıklıyoruz.

Bu tür şeyleri bilmek web geliştiricileri, proje yöneticileri ve web sitesi ziyaretçilerinin gizli verilerini korumak isteyen herkes için faydalıdır. Veya denetim yapacak bir uygulayıcıyı dahil etmeniz gerekir. Tehditleri belirlemek savaşın yarısından azdır. Hala bunları nasıl ortadan kaldıracağımızı bulmamız ve ardından korumanın çalıştığından emin olmamız gerekiyor.

GeekBrains ofisi: geç saatlere kadar çalışıyoruz, sırf öğrenciler bilgi sahibi olsun diye

Öğrencilerimiz web güvenliğinin yanı sıra ağ güvenliğini de detaylı bir şekilde inceliyorlar. Bu alanlar kısmen ilişkilidir çünkü yalnızca sunucuyu değil aynı zamanda hizmetin istemci kısmını da etkileyen tehditler vardır.

Örneğin büyük kuruluşlar da dahil olmak üzere bazı siteler trafiği şifrelemez. Bu, sahte makinelere yönlendirilmesine ve kullanıcıların sunucuya göndermek istediği her şeye müdahale etmesine olanak tanır.

Peki ya bir kişi gelişmiş BT şirketlerinin bulunmadığı küçük bir kasabada yaşıyorsa? Bu yüzden pratik bir güvenlik görevlisi olarak eğitim aldı. Kiminle çalışmalı?

Öğrettiğimiz teknoloji yığını, sistem yönetimi ve bilgi güvenliğiyle ilgili diğer alanlarla bağlantılıdır. Bir kişi özenle çalışırsa bizde genel uzman olur. Şimdi daha detaylı anlatacağım.

İyi bir güvenlik uzmanının yönetebilmesi gerekir. Bilgi güvenliği uzmanlarının özgeçmişlerine baktığınızda birçoğunun kariyerinde sistem yönetimi aşamasını geçmiş olduğunu görürsünüz.

Öğrencilerimiz Linux'u yakından inceliyorlar. Bu işletim sistemiyle daha önce çalışmamış olan herkes öncelikle onu sanal makineye nasıl kuracağını öğrenecektir. Daha sonra öğrenciler terminalde çalışma, yazılım yükleme ve temel sorunları çözme konusunda uzmanlaşırlar.

Ayrıca hizmetlerle nasıl çalışılacağını da öğretiyoruz: bir Nginx veya Apache sunucusunun nasıl kurulacağı, bir DBMS veritabanı, bir BIND DNS sunucusu ve postanın nasıl kurulacağı. Sadece eğitim için para ödedikten sonra bilginin otomatik olarak gelmediğini hatırlamanız gerekir - çaba göstermelisiniz.

- Ağların nasıl oluşturulacağını ve yapılandırılacağını da öğretiyor musunuz?

Evet. Ağ mühendisi, bir güvenlik uzmanının çalışmasının ortak bir yanının olduğu başka bir meslektir. En azından ağ filtrelerini yapılandırabilmeniz, bağlantı noktalarını kapatabilmeniz ve etkin bağlantıları izleyebilmeniz gerekir.

Bilgisayar ağları üzerinde çalışırken öğrenciler Cisco Packet Tracer simülatöründe pratik beceriler geliştireceklerdir. Netlik açısından bunu seçtik, ancak Cisco ekipmanıyla çalışabilme yeteneği de özgeçmişiniz için bir avantajdır.

Ağ güvenliğinin temel konusu TCP/IP'dir. Bu, bir ağ üzerinden veri aktarımına yönelik bir modeldir. Yöneticiler ve güvenlik uzmanları her zaman bunun farklı uygulamalarıyla çalışır. Size bağlantı ve ağ katmanı protokollerinin ne olduğunu, nasıl çalıştıklarını ve neden bir MAC adresine ihtiyacınız olduğunu anlatıyoruz. Pek çok saldırı türünün bağlantı düzeyinde inşa edilmesine rağmen çok az kişi bunu anlıyor.

Ağ teknolojilerini incelemek

- “Mezun küçük bir kasabadan taşınmak istemez” durumuna dönelim. Nerede çalışmalı?

Her yerde sağlayıcıların olduğu gerçeğiyle başlayalım. Mezunumuzu ağ mühendisi olarak işe almaktan mutluluk duyacaklardır. Üstelik bu, güvenlik konusunda çok iyi bir anlayışa sahip bir ağ mühendisi olacaktır. Kariyer açısından, daha önce yalnızca ağ döşeyen insanlara göre bir avantaja sahip olacak: kıvrımlı bükümlü çift kablolar ve bununla tavan aralarından geçiyor. Güvenlik mühendisimizin yönetici rütbesine yükselmesi daha kolay olacaktır. Sağlayıcıların web siteleri ve bazı hizmetleri vardır; burada kendinizi de kanıtlayabilirsiniz.

Bir sonraki nokta, sistem yöneticilerine her yerde ihtiyaç duyulmasıdır. Şirketin ayrı bir bilgi güvenliği uzmanı yoksa görevleri sistem yöneticisi tarafından yerine getirilir. Ve yine mezunumuz, güvenliği bizzat ve yüzeysel olarak inceleyen yöneticilere göre bir avantaj elde ediyor.

Kişisel bir not olarak şunu ekleyeceğim: Moskova veya St. Petersburg'a taşınma ve büyük bir yerel veya uluslararası şirkette çalışma fırsatınız varsa buna değer. Zaten başarılı olan öğrencilerimiz var.

- Uygulamalarla çalışmaya ne dersiniz? Sonuçta güvenlik görevlisinin de yazılımı kontrol altında tutması gerekiyor.

Evet, öğrencilerin kötü amaçlı kodları tanımlayabilmeleri için uygulama ayrıştırma ve analizini öğretiyoruz.

Saldırganların ve onlarla savaşanların aynı araçları kullandığını anlamalısınız. Siyah şapkalı (kötü) bilgisayar korsanları yazılımı analiz eder ve kötüye kullanılabilecek güvenlik açıklarını arar. Beyaz şapkalı (etik) bir bilgisayar korsanı, güvenlik açıklarını kapatmak için hatalar arar.

Kodun nasıl keşfedileceğini öğretiyoruz. Programcı dikkatsiz olsaydı, belirli koşullar altında program hassas verileri açığa çıkarabilirdi. Örneğin, kullanıcıya şifrelerin, özel anahtarların ve diğer ilginç şeylerin saklandığı bir RAM parçası gönderin.

Ayrıca Python'da programlamayı da öğretiyoruz. Görevleri otomatikleştirmeyi veya kendi veri analizi araçlarınızı yazmayı kolaylaştırır. Bu beceriler bir güvenlik görevlisini daha yüksek bir profesyonel seviyeye taşır.

Ayrıca İşletim Sistemleri dersimiz de var. İşletim sistemi mimarisinden, Linux, DOS, Windows ve daha fazlasındaki güvenlik tehditlerinin nasıl farklılık gösterdiğinden bahsediyor.

Çekirdek alanı ve kullanıcı alanının ne olduğunu, belleğin nasıl çalıştığını ve modern işletim sistemlerinde bir uygulamanın neden başka bir uygulamanın verilerini değiştiremediğini açıklıyoruz. Bir sürecin bir iş parçacığından farkı nedir?

Kursun sonuna doğru - dördüncü çeyrekte - öğrenciler ikili güvenlik açıkları konusuyla tanıştırılır.

- Öğrencilerin aynı zamanda yönetmelik hazırlamayı ve belgelerle çalışmayı da öğrendiklerini söylediniz.

Kolluk kuvvetleri ve düzenleyici kurumlarla (FSTEC ve FSB) etkileşim hakkında konuşuyoruz. Rus yasalarının öngördüğü güvenlik standartlarının ne zaman ve nasıl uygulanacağını öğreniyoruz.

Önemli bir nokta daha var. Sosyal mühendisliğin temellerini öğretiyoruz. Çünkü saldırgan asla gereksiz yere zor yola girmez. Herhangi bir şeyi kırmadan önce kullanıcıdan bir şifre veya diğer gerekli bilgileri almaya çalışır. Şirket çalışanları için talimatlar hazırlarken bu tür planların nasıl dikkate alınacağını size anlatıyoruz.

- Yani bir “evrensel güvenlik askeri” mi hazırlıyorsunuz?

Hacklemeyi ve korumayı bilen bir kişiyi hazırlıyoruz. Bir bilgi sistemini yetkin bir şekilde oluşturmak için bilgisayar korsanlığı yöntemlerini anlamak gerekir.

İyi bir güvenlik görevlisi bir saldırganla aynı becerilere sahiptir. Ancak bunları bencilce ve/veya suç teşkil eden amaçlarla değil, sistemi ve nihayetinde kullanıcıları korumak için kullanıyor.

Her şeyi hackleyebilirsiniz; bu bir zaman ve kaynak meselesidir. Ancak iyi oluşturulmuş bir savunmayı atlamak, saldırganı mahvedebilir.

- Çalışılan alanlar arasında öncelikler nasıl belirleniyor?

Ana odak noktası web güvenliğidir. Ağ mühendisliği ve sistem yönetimi buna bitişiktir. Diğer alanlarda ise öğrencinin ilgi alanına göre geliştirilebilecek temel bilgileri sağlıyoruz.

Bir güvenlik öğrencisi nerede pratik deneyim kazanabilir? Çalışmalarının sonuçlarına göre özgeçmişine hangi başarıları koyabilecek? Peki kendinizi nasıl seviyelendirebilirsiniz?

Tehditler modellenebilir. Bunun için özel araçlar var. Basit şeylerle başlamak daha iyidir: siteye bir "buggy web uygulaması" - bWAPP (buggy web uygulaması) alıp yükleyin. Başlangıçta güvensiz olacak şekilde yaratıldı, böylece “etik bilgisayar korsanları” onu güvenlik açıklarını bulma ve engelleme konusunda pratik yapmak için kullanabilirdi.

Ayrıca kasıtlı yapılandırma hataları içeren özel bir Linux dağıtımı olan DVL de vardır.

Bu tür araçlar çok faydalıdır ancak öğrenciler bunlardan çabuk sıkılabilirler, bu yüzden daha ilginç testler hazırladık. Örneğin Bayrağı Yakala gibi yarışmalar. Uzaktaki bir makineye erişim kazanırsınız, ancak güvenlik açıklarını önceden bilmiyorsunuz ve onları bulmanız gerekiyor. Bu tür yarışmalarda ve yarışmalarda kazanılan zaferler piyasada değerlidir - özgeçmişinize güvenle yazılabilirler. Ciddi bir simülatörü hacklemek gerçek bir web sitesini hacklemekten daha kolay değildir.

Bug Bounty gibi yarışmalara da katılmaya değer. Bu, bir kuruluşun bir üründeki güvenlik açıklarını bulanlara ödül teklif ettiği zamandır. Bu tür programlara nasıl katılacağınızı size anlatacağız. Hackerone'da iyi gelişmiş bir hesabınız varsa, yabancı olanlar da dahil olmak üzere büyük şirketlerde hoş karşılanacaksınız.

Öğrencimiz ayrıca web sitesi sahiplerine denetim hizmetleri de sunabilir: güvenlik açıklarını bulun ve kapatın. Önemli olan sitenin sahibiyle önceden anlaşmaktır çünkü "siyah" ve "beyaz" hackleme arasındaki çizgi çok incedir ve istenmeyen yardım cezai suçlamalara yol açabilir.

Bunu umursamayanlara güvenlik denetimleri teklif etmek mantıklı mı? Bir güvenlik açığı uzman olmayan biri tarafından bile görülebilir, ancak kimse onu ortadan kaldıramaz...

Denemeye değer. Bazı insanlar yazmayı gerçekten gereksiz buluyor ama sorun hakkında düşünmeyenler de var. Bir site sahibine HTTP kullandığını ve artık HTTPS'ye geçme zamanının geldiğini, aksi takdirde kullanıcı şifrelerinin güvenli olmayan bir iletişim kanalı üzerinden iletileceğini anlattım. Ve adam dinledi. Site gelir sağlıyorsa, sahibi sitenin gelişimiyle ilgilenir ve büyük olasılıkla diyaloga girecektir.

İşte bir yarışmayı kazanmış, birisine denetim yapmış ama henüz kadroya geçmemiş bir kişi. İş ararken bu bir sorun teşkil ediyor mu?

HAYIR. Mezunumuz GeekBrains ve Mail.Ru Group'ta bir yıl geçirdi. Zaten büyük bir şirkette güvenlik görevlisi olarak çalışmayı hayal ediyor, tüm teknoloji yığınını biliyor ve bir başlangıç ​​portföyü oluşturmuş. Ortalama bir işverenin bakış açısından bu çok fazla.

- Röportajda gösterilecek bir şey olacak...

Elbette. Mezunun bazı konuları geleceğin liderinden daha iyi anlaması mümkündür.

Sergey, çok teşekkür ederim! Artık Bilgi Güvenliği Fakültesi'nde neyi ve neden öğrettiklerine dair tam bir resme sahibim. Okuyucuların herhangi bir sorusu varsa, bunları yorumlarda soracaklarını umuyorum. Ve sen ve ben yine de başka bir fakülte olan yapay zeka hakkında ayrıntılı olarak konuşmak için zaman bulacağız.

Yeni fakülte ve Veri Bilimi yönü hakkında gerçekten söylenecek çok şey var. Yani bir dahaki sefere kadar.

Bilgi uzmanları güvenlik görevlileri, bir bilgi güvenliği sisteminin oluşturulmasında, denetlenmesinde ve izlenmesinde, bilgi risklerinin analiz edilmesinde, bunların önlenmesine yönelik tedbirlerin geliştirilmesinde ve uygulanmasında doğrudan yer alır. Meslek, bilgisayar bilimleriyle ilgilenenler için uygundur (bkz. Okul konularına ilgiye dayalı meslek seçimi).

Yetkinlikleri aynı zamanda teknik bilgi güvenliği araçlarının kurulumunu, konfigürasyonunu ve bakımını da içerir. Güvenlik uzmanları, çalışanlara bilgi güvenliği konularında eğitim verir ve tavsiyelerde bulunur ve düzenleyici ve teknik belgeler geliştirir. Bu konum, bilgi teknolojisi ve güvenlik teknolojisinin iki alanının kesiştiği noktada ortaya çıktı. Bugün ne ticari yapılar ne de FSB gibi departman kuruluşları bilgi güvenliği görevlileri olmadan yapamazlar.

Mesleğin özellikleri

Bu meslek iki alanın kesişme noktasında ortaya çıktı: bilgi teknolojisi ve güvenlik teknolojisi. Günümüzde ne ticari yapılar ne de departman organizasyonları bilgi güvenliği çalışanları olmadan yapamazlar. Kendi çalışanlarının önemli bilgilerin sızmasını, veri sahtekarlığını ve yetersizliklerini (kötü niyetli olmalarını) önlerler. Ulusal ölçekte, bilgi güvenliği uzmanları ülkenin savunma kabiliyetine ilişkin stratejik bilgileri korumak, gizli veritabanları oluşturmak ve nükleer evrak çantasının sırrını saklamak için sistemler oluşturur.

Mesleğin artıları ve eksileri

Artıları:

• bilgi güvenliği alanı hızla geliştiği için işgücü piyasasındaki talep, bu da bu alandaki uzmanlara olan talebin sürekli artacağı anlamına geliyor;
• yüksek ücretler;
• en gelişmiş bilgi güvenliği teknolojilerine hakim olma fırsatı;
• konferans ve seminerlere katılma fırsatı;
• çeşitli uzmanlarla iletişim, faydalı bağlantılar kurma fırsatı.

Eksileri:

• tüm şirket bilgilerinin güvenliğinden sorumlu olmanız gerektiğinden yüksek sorumluluk;
• Sık sık iş gezileri mümkündür.

İş yeri

Kendi bilgisayar ağlarına sahip olan ve kurumsal bilgileri ve önemli ticari bilgileri koruması gereken çeşitli mülkiyet biçimlerine sahip kuruluşlarda.

Önemli nitelikler

İletişim becerileri ve takım halinde çalışabilme becerisi. Koruma sistemlerinin oluşturulması ve ayarlanması birkaç uzmanın ortak çalışmasıdır: korunan şirketin başkanı, bir analist, sistem tasarımcıları ve programcılar. Herkese bir yaklaşım bulmanız ve görevi onların anlayacağı dilde ortaya koyabilmeniz gerekiyor.

Bilgi Güvenliği Uzmanı olma eğitimi

Yüksek öğrenim:

Üniversiteler

Sizi listemizi tanımaya davet ediyoruz.

Bir bilgi güvenliği uzmanı, WEB ortamının tüm teknolojilerini bilmeli, ayrıca erişimi hackleme ve ağlara ve projelere zarar verme yöntemlerini anlamalıdır.

ücret

12/10/2019 itibarıyla maaş

Rusya 25000—80500 ₽

Moskova 40000—200000 ₽

Bir uzmanın ücret düzeyi, şirketin refahı, iş sorumlulukları listesi, uzmanlık alanındaki iş deneyimi ve mesleki becerilerin gelişim düzeyine göre belirlenir.

Kariyer adımları ve beklentiler

Kendi başına bu pozisyon, BT alanında kariyer gelişiminin en yüksek seviyelerinden biridir ve yalnızca bir departman veya bilgi güvenliği departmanı başkanlığı pozisyonunun ötesindedir. Bilgi güvenliği araçlarını ve Windows veya Unix işletim sistemlerini yönetme konusunda eksik veya tamamlanmış yüksek öğrenim ve deneyime sahip BT uzmanları, bu alanda bir kariyere başlayabilirler. İşverenlerin acemi uzmanların mesleki becerilerine yönelik gereksinimleri oldukça ciddidir: nispeten düşük gelirli başvuru sahipleri bile Rusya Federasyonu'nun bilgi güvenliği mevzuatını, ağ işletimi ilkelerini ve kriptografik koruma araçlarını, bilgi güvenliği için modern yazılım ve donanımı bilmelidir. ve bilgi güvenliği teknolojileri. Genç profesyonellerin başkentte güvenebilecekleri maaş 40 bin ruble'den başlıyor.

Bir sonraki seviye, bilgi teknolojisi veya bilgi güvenliği alanında yüksek öğrenim görmüş, bilgi güvenliği alanında en az 2 yıllık deneyime sahip bir uzmandır. Ayrıca, başvuru sahiplerinin bir bilgi güvenliği sisteminin risklerini denetleme ve değerlendirme konusunda deneyime, bilgi güvenliğine ilişkin düzenleyici ve teknik dokümantasyon geliştirme becerisine, uluslararası bilgi güvenliği standartlarına ilişkin bilgiye ve teknik literatürü okuyabilecek düzeyde İngilizce yeterliliğine sahip olmaları gerekir. Yukarıdaki gereksinimleri karşılayan uzmanlar, Moskova'da 80 bin rubleye kadar kazanıyor.

Kasım 2008'de portal sitesinin araştırma merkezi, Rusya'nın 9 şehrinde “Bilgi Güvenliği Uzmanı” pozisyonu için işverenlerin önerilerini ve başvuranların beklentilerini inceledi.

Modern şirketler, veri gizliliğini sağlama ve bilgiye sızıntıyı veya yetkisiz erişimi önleme ihtiyacıyla giderek daha fazla karşı karşıya kalıyor. Kapsamlı bilgi güvenliği sağlama görevi, mevcut güvenlik sisteminin denetimini yapması, bilgi risklerini analiz etmesi ve buna uygun olarak şirketin bilgi güvenliğini sağlayacak önlemleri geliştirmesi ve uygulaması gereken bir bilgi güvenliği uzmanının omuzlarına düşer. özellikle teknik koruma bilgilerinin seçilmesi, kurulması ve yapılandırılması. Bilgi koruma sürecine, düzenleyici ve teknik belgelerin aktif olarak hazırlanması eşlik eder. Bir bilgi güvenliği uzmanının sorumlulukları aynı zamanda bilgi güvenliği sisteminin sürekli izlenmesini ve onu korumaya yönelik teknik araçların desteklenmesini de içerir. Ayrıca bilgi güvenliğinden sorumlu çalışanın diğer çalışanları bilgi güvenliğinin temellerine uyma konusunda eğitmesi gerekmektedir. Elbette, gereksinimler listesi oldukça ciddi, ancak bu kadar karmaşık bir mesleğin avantajları da açık - bu tür uzmanlara olan yüksek talep: örneğin Moskova'da, bilgi güvenliği alanında kişi başına yalnızca 2 özgeçmiş var, St. Petersburg - 4; diğer şehirlerde arz ve talep dengesi var.

Moskova'daki bilgi güvenliği uzmanlarının ortalama piyasa maaşı 55.000 ruble. aylık, St.Petersburg'da - 43.000 ruble, Yekaterinburg'da - 33.000 ruble, Nizhny Novgorod'da - 28.000 ruble, Novosibirsk'te - 30.000 ruble, Omsk'ta 24.000 ruble, Rostov-on-Don Don, Samara ve Ufa'da - 26.000 ruble.

Bilgi güvenliği uzmanı olabilmek için bilgi güvenliğinin teknik yönünü iyi anlamanız gerekir. Bu alanda bir kariyere başlamak için, tamamlanmamış bir yüksek veya yüksek teknik eğitime, teknik literatür okuma düzeyinde İngilizce bilgisine ve bilgi güvenliğinin temellerini anlamanız gerekir. Bilgiye yetkisiz erişimin önlenmesi ve teknik güvenlik önlemlerinin geliştirilmesinden çoğu zaman sistem yöneticileri ve mühendisler sorumludur. Bu nedenle, bilgi güvenliği uzmanı olarak kariyere bu alanda pratik yaparak ve çeşitli işletim sistemlerini yönetme, anti-virüs yazılımlarını kurma ve destekleme konusunda beceriler kazanarak başlamak en iyisidir. İlk kazançlar Moskova uzmanları için - 25.000-40.000 ruble, St. Petersburg için - 20.000 -30.000 ruble, Rostov-on-Don sakinleri için 12.000-17.000 ruble, Samara - 12.000 - 20.000 ruble .

Uzmanlık alanında 1 ila 3 yıl çalışmış ve ağ protokolleri ve bunların analiz yöntemleri hakkında derinlemesine bilgi sahibi olmuş, uluslararası bilgi güvenliği standartları ve modern yazılım ve donanım bilgi güvenliği araçları hakkında gelişmiş bilgi sahibi olan bir bilgi güvenliği uzmanı en az 40.000 kazanır - 65.000 ruble. Moskova'da 30.000 – 50.000, St. Petersburg'da 25.000 – 40.000 ruble. Yekaterinburg'da. Araştırmaya katılan diğer Rusya şehirlerine ilişkin veriler aşağıda sunulmaktadır (tablolara bakınız).

3 yıldan fazla bir süredir bilgi güvenliği uzmanı olarak çalışıyorsanız, bağımsız olarak bir bilgi güvenliği sistemi geliştirme ve uygulama deneyiminiz varsa veya büyük ölçekli bilgi sistemleri için bir güvenlik sistemi oluşturma projelerine katılıyorsanız, daha yüksek maaş alacağınıza güvenle güvenebilirsiniz. , Cisco ekipmanıyla çalışma deneyiminiz varsa ve ayrıca düzenleyici ve teknik belgeler hazırlama konusunda beceriniz varsa. Moskova'da çalışan deneyimli bir uzman, St. Petersburg'da 65.000 ila 100.000 ruble, Yekaterinburg'da 50.000 ila 80.000, 40.000 ila 60.000 ruble arasında maaş talep edebilir.

“Bilgi Güvenliği Uzmanı” mesleğinin tipik bir temsilcisi, yüksek öğrenim görmüş bir adamdır. Daha güçlü cinsiyetin temsilcileri başvuranların% 93'ünü oluşturuyor. Bu pozisyona başvuran adayların %92'si yüksek öğrenim görmüştür. Bu tür çalışmalarda sadece gençliğin coşkusu değil (30 yaşın altındaki adaylar %60'ı oluşturur), aynı zamanda olgunluk deneyimi de (30-40 yaş arası uzmanlar başvuranların dörtte birini oluşturur) önemlidir. Bilgi güvenliği uzmanının işi sık seyahat etmeyi gerektirebilir ve adayların %75'i B kategorisi ehliyete sahiptir.

Moskova'da aşağıdaki üniversitelerde bilgi güvenliği uzmanı olmak için eğitim alabilirsiniz:
- , Bilgi Güvenliği Fakültesi.
- MSTU im. N.E. Bauman, Bilgisayar Bilimleri ve Kontrol Sistemleri Fakültesi.
- , Bilgi Güvenliği Fakültesi.
- , İş Güvenliği Enstitüsü NRU MPEI
- Rusya Devlet İnsani Üniversitesi, Bilgi Bilimleri ve Güvenlik Teknolojileri Enstitüsü.

Kasım ayında bir bilgi güvenliği uzmanının çalışmasıyla iki profesyonel tatil ilişkilendirilir: 26 Kasım - Dünya Bilgi Günü ve 30 Kasım - 20. kez kutlanan - Uluslararası Bilgi Koruma Günü.

Çalışma bölgeleri: gg. Moskova, St. Petersburg, Yekaterinburg, Nizhny Novgorod, Novosibirsk, Rostov-on-Don, Omsk, Samara, Ufa.
Çalışma süresi: Kasım 2008
Birim: Rus rublesi.
Çalışmanın amacı:“Bilgi Güvenliği Uzmanı” pozisyonuna başvuran adayların işveren önerileri ve beklentileri.

Tipik işlevsellik:
- Şirketin bilgi güvenliği sisteminin denetimi ve takibi
- Bilgi risklerinin analizi
- Şirketin bilgi güvenliğini sağlamaya yönelik önlemlerin geliştirilmesi ve uygulanması
- Bilgi güvenliği teknik araçlarının kurulumu, konfigürasyonu ve bakımı
- Çalışanlara bilgi güvenliği konularında eğitim vermek ve danışmanlık yapmak
- Normatif ve teknik dokümantasyonun hazırlanması.

Pozisyon gereksinimleri: istihdam türü - tam zamanlı.

Bir uzmanın ücret düzeyi, şirketin refahı, iş sorumlulukları listesi, uzmanlık alanındaki iş deneyimi ve mesleki becerilerin gelişim düzeyine göre belirlenir.

Uzman ücret seviyelerine ilişkin bilgilerin analizi:
(ikramiyeler, ek avantajlar ve tazminatlar hariç)

Bölge	Asgari	Maksimum	Moda	Medyan	Alt çeyrek	Üst çeyrek	Aritmetik ortalama	Talep endeksi (özgeçmiş/boş pozisyon)
Moskova	25 000	100 000	50 000	55 000	40 000	65 000	56 200	2
Saint Petersburg	20 000	80 000	40 000	43 000	30 000	50 000	43 700	4
Ekaterinburg	15 000	60 000	30 000	33 000	25 000	40 000	33 600	1
Nijniy Novgorod	13 000	50 000	25 000	28 000	20 000	35 000	28 100	1
Novosibirsk	14 000	60 000	30 000	30 000	23 000	37 000	31 400	1
Rostov-na-Donu	12 000	50 000	25 000	26 000	17 000	30 000	26 900	1
Omsk	11 000	45 000	20 000	24 000	17 000	28 000	24 100	1
Samara	12 000	50 000	25 000	26 000	20 000	32 000	26 500	1
Ufa	12 000	47 000	25 000	26 000	19 000	31 000	26 300	1

Tabloya ilişkin açıklamalar »

İncelenen bölgelerdeki maaşlara ilişkin veri dizisinin incelenmesi, her biri aday için belirli bir dizi tipik gereksinim ve istekle karakterize edilen birkaç ana maaş aralığını belirlememize olanak sağlar. Sonraki her maaş aralığı, öncekiler için formüle edilen gereksinimleri içerir.

Bölge	Grup I	Aralık II	Aralık III
Moskova	40.000'e kadar	40 000 - 65 000	65.000'in üzerinde
Saint Petersburg	30.000'e kadar	30 000 - 50 000	50.000'den fazla
Ekaterinburg	25.000'e kadar	25 000 - 40 000	40.000'in üzerinde
Nijniy Novgorod	20.000'e kadar	20 000 - 35 000	35.000'in üzerinde
Novosibirsk	23.000'e kadar	23 000 - 37 000	37.000'in üzerinde
Rostov-na-Donu	17 000'e kadar	17 000 - 30 000	30.000'den fazla
Omsk	17 000'e kadar	17 000 - 28 000	28.000'in üzerinde
Samara	20.000'e kadar	20 000 - 32 000	32.000'den fazla
Ufa	19 000'e kadar	19 000 - 31 000	31.000'in üzerinde

Tabloya ilişkin açıklamalar »

№	Maaş aralığı	Mesleki beceriler için gereksinimler ve istekler
1	BEN	- Yüksek/tamamlanmamış yüksek öğrenim (teknik) - Temel düzeyde veya teknik metinleri okuyabilecek düzeyde İngilizce bilgisi - Bilgi güvenliği temelleri konusunda bilgi sahibi olmak - İşletim sistemi yönetimi becerileri (Windows/Unix) - Antivirüs yazılımı kurma ve sürdürme becerisine sahip - Bilişim alanında teknik pozisyonda deneyim (sistem yöneticisi, mühendis)
2	II	- Yüksek uzmanlık eğitimi - Yeterlilik sertifikaları kabul edilir - Ağ protokolleri ve analiz yöntemleri hakkında derin bilgi -Uluslararası bilgi güvenliği standartları hakkında bilgi sahibi - Modern yazılım ve donanım bilgi güvenliği araçları hakkında bilgi - Uzmanlık alanında 1-3 yıl deneyim
3	III	- Cisco ekipmanları konusunda tecrübeli - Mevzuat ve teknik dokümantasyon geliştirme tecrübesi - Bir bilgi güvenliği sisteminin bağımsız olarak geliştirilmesi ve uygulanması konusunda deneyim veya büyük ölçekli bilgi sistemleri için bir güvenlik sistemi oluşturmaya yönelik projelere katılım - Uzmanlık alanında 3 yıldan beri deneyim

İstatistikler:

• İşgücü piyasasında en çok talep gören bilgi güvenliği uzmanlarının yaş aralığı 25-50'dir; 30 yaşın altındaki bilgi güvenliği uzmanları toplam uzman sayısının %60'ını oluşturur; 30 ila 40 yaş arası – %25, 40 ila 50 yaş arası – %12;


• Bilgi güvenliği uzmanlarının %93'ü erkek;


• Bilgi güvenliği uzmanlarının %78'i temel düzeyde ve özel literatürü okumaya yetecek düzeyde İngilizce konuşmaktadır; konuşma ve serbest seviyelerde – %17;


• Bilgi güvenliği uzmanlarının %92'si yüksek öğrenime sahip, %5'i ise yüksek öğrenimi tamamlanmamış;


• Bilgi güvenliği uzmanlarının %16'sı uzmanlık kurslarını tamamlamış veya yeterlilik sertifikalarına sahiptir;


• Bilgi güvenliği uzmanlarının %75’i “B” kategorisi sürücü belgesine sahiptir.

Sınıf cıvıldamak

Blog yerleştirme kodu

Bilgi Güvenliği Uzmanı

Kasım 2008'de SuperJob.ru portalının araştırma merkezi, Rusya'nın 9 şehrinde “Bilgi Güvenliği Uzmanı” pozisyonu için işverenlerin tekliflerini ve başvuranların beklentilerini inceledi. Devamını oku...