В России существуют квалификационные требования к руководителям и специалистам, утверждаемые на уровне профессиональных стандартов, норм квалификационного справочника профессий, ведомственных нормативных актов. Они прописаны и для специалистов по компьютерной безопасности. Дополнительные требования к этой группе работников предъявляют работодатели, у которых есть свое видение того, что должен знать и уметь специалист по защите информации. 

Нормативные требования

Уровень квалификации специалиста по IТ-безопасности наиболее четко определен в двух документах:

• единый квалификационный справочник должностей (ЕКС), в котором содержатся нормы подготовки специалиста, сформулированные в 2013 году и с тех пор не обновлялись;
• разработанные ФСТЭК РФ квалификационные требования к руководителям, работающим в сфере защиты информации.

Нормы ЕКС учитывают при найме на работу в крупные государственные и частные компании. Документ предполагает, что специалист:

• способен выполнить комплексные сложные работы по обеспечению безопасности данных с опорой на методики, связанные с защитой гостайны;
• способен самостоятельно выработать меры предотвращения утечки данных;
• может провести аудит защиты информационной системы и выработать рекомендации по методам и средствам ее усиления;
• способен участвовать в разработке нормативных документов компании, вносить рациональные предложения в план работы организации;
• имеет навыки обследования зданий и сооружений и может внести изменения в проект реконструкции на основании знаний по защите информации;
• способен разработать принципиально новую схему защиты информации;
• знает нормативные акты, регулирующие вопросы безопасности данных;
• знаком с программными и аппаратными средствами защиты;
• знаком с методами технической разведки и всеми современными средствами перехвата информации;
• имеет высшее профессиональное образование и стаж работы в аналогичной должности от трех лет, если претендует на должность начальника отдела.

Проверить при найме все заявленные знания и квалификацию кандидата не всегда представляется возможным. Однако при проведении аттестации сотрудников несоответствие ИБ-специалиста квалификационным требованиям может стать основанием для увольнения или понижения в должности.

Вместо найма штатного сострудника для защиты информации можно пригласить опытного специалиста по ИБ-аусторсингу. Узнать больше. 

Документ, созданный ФСТЭК РФ, определяет квалификацию только управленческого персонала ведомства. От сотрудника ожидается:

• знание законов и нормативных актов, действующих в сфере защиты информации;
• знание нормативно-правовых актов, регулирующих сертификацию программных средств;
• понимание основ системы противодействия работе иностранных технических разведок, основ действия технических средств получения информации;
• знание всех каналов утечки информации;
• понимание ситуации на рынке разработки технических и программных средств безопасности данных, понимание, в каком направлении идет разработка новых технологий;
• умение оформлять техническую документацию по программным решениям;
• способность генерировать типовые и нестандартные решения в сфере защиты информации.

Предполагается, что специалист по защите информации, который соответствует требованиям ФСТЭК РФ, вполне готов к работе в ведомстве, в государственной или частной компании, в фирме, разрабатывающей программное обеспечение.

Требования работодателей

При анализе сформулированных работодателями требований по защите информации выявляются различия с государственными стандартами. Работодатели используют целевые, а не общие критерии, например, умение работать с определенными программными продуктами и навыки борьбы с конкретными типами атак. Ожидания различаются и в зависимости от отрасли. Так, в банковской деятельности наиболее востребованы специалисты по защите информации, понимающие типологию атак на карточные счета клиентов, SWIFT, корреспондентские счета. 

В целом рынок предъявляет к специалистам следующие требования:

• умение работать с определенными межсетевыми экранами, программными и техническими средствами, знание рынка средств защиты информации;
• навыки работы со средствами антивирусной защиты, способность самостоятельно их настраивать;
• умение проводить аудит и искать уязвимости в ручном и автоматическом режиме;
• способность вручную писать скрипты по управлению системами безопасности информации;
• умение управлять инцидентами безопасности и читать журналы записи действий пользователей;
• опыт контроля нештатных действий пользователей;
• опыт администрирования информационных систем;
• стаж работы от одного года. 

Такие требования могут предъявляться не только к специалистам по защите информации, но и к системным администраторам, одной из рабочих обязанностей которых является безопасность. 

На практике каждая компания вырабатывает собственные стандарты и проверяет, соответствуют ли им кандидаты удобным ей способом.

29.11.2019