Вот уже три месяца мы, двое студентов четвертого курса, работаем в отделе информационной безопасности "ЛАНИТ-Интеграция". Мы хотели бы поделиться своими впечатлениями от этого этапа вхождения в профессию и в большой ИТ-бизнес. Эта статья будет полезна всем, кто собирается устраиваться на работу по специальности или кому интересно, с чего нужно начинать изучение курса «Информационная безопасность». Она поможет понять, что примерно вас будет ждать в первые месяцы работы в крупной компании, какие проблемы возникнут на пути, а самое главное — как их решать.
Глава 1. Информационная безопасность с нуля или …
Далеко не секрет, что в России студентам после окончания университета сложно найти работу по их специальности, не говоря уже о хорошей практике во время учебы. Люди, полные желания усваивать знания и работать, вынуждены слушать отказы от каждого работодателя, требующего сразу большой опыт работы. Такой подход прочно закрепился в России, из-за чего молодые умы и действительно хорошие ребята, закончившие институт, должны идти работать в любимые нами булочные под контролем тех, кто не доучился и решил трудиться в местной столовке ещё на первом курсе или после армии. Как ни крути, но это не значит, что абсолютно всех ждет такая участь.
Будучи студентами третьего курса специальности «Информационная безопасность» университета на «Курской» и находясь в ожидании очередной сессии, наша группа занялась поиском организаций, которые позволили бы пройти у них производственную практику по нашей специальности. В процессе поиска рабочего места, мы столкнулись с типичными проблемами нашего профиля обучения и не только. Дело в том, что у нас не хватает опыта работы и даже практики (хотя мы за ней и пришли), и в том, что руководители организаций сами не знают, куда бы нас поместить для наилучшего функционирования ИБ в компании.
В итоге за три года обучения полученные знания не позволяют ярко описать картину, которая будет ждать нас после окончания университета. Появляется страх, что мы окажемся среди людей, не устроившихся на работу по специальности, на которую уже потрачена часть жизни.
«Информационная безопасность» — словосочетание, которое где-то кто-то быть может и слышал, но не придавал ему особенно большого значения. Так вышло, что специальность важная, но обучение по этой специальности развивается плохо.
В процессе поиска места работы мы уже отчаялись, но желаемое пришло к нам в университет само в лице руководителя отдела ИБ компании "ЛАНИТ-Интеграция" с предложением посетить День открытых дверей. Цель мероприятия заключалась в том, чтобы найти достойных людей для стажировки в представляемой им компании. Мы обрадовались появившемуся шансу, хотя со стороны нам показалось, что это выглядело так, как еле протоптанная по газону дорожка трехногого мопсика врезается в автомагистраль с бесконечным числом полос.
Мне и моей группе повезло, что руководитель отдела информационной безопасности «ЛАНИТ-Интеграции» относится к тем, кто помогает и даёт шанс молодым людям при устройстве на работу. От нас не требовалось быть мастерами в сфере ИБ, нужно было лишь показать свое искреннее желание и целеустремленность в обучении и развитии.
На Дне открытых дверей нас встретили чаем и печеньками. Мы выслушали выступление руководства компании и приступили к написанию вступительных тестов. Их было три: на знание технической части, английского и тест на IQ. Также нужно было написать сочинение на тему «Почему я хочу работать здесь». Нас сразу предупредили, что знания на данном этапе — не панацея, главное — продемонстрировать свое желание развиваться в сфере IT. Написав очень специфическое сочинение, я надеялся, что оно зацепит читателей своей неординарностью. И это зашло.
Следующим этапом было ожидание. Мы заняли роль Хатико в преддверии важного ответа после встречи. Мы хотели быть лучшими среди всех, кто пытался попасть в ЛАНИТ, но до дрожи в коленках боялись, что нас пустят мимо кассы. Когда были объявлены результаты встречи, мы поняли, что не зря всё это затеяли, и то, что нам дадут шанс проявить себя уже в штате отдела информационной безопасности.
В первый день заполнили все, что от нас требовалось, закинулись дешёвыми булками из ближайшей палатки, как подобает бедным студентам, и уже были готовы исследовать новую главу нашей жизни, которая на данный момент еще не открыта и может слипнуться в любой момент, как страницы с девушками из автомобильного журнала в руках четырнадцатилетнего подростка 90-х. В первые дни нашего знакомства с коллегами у них не возникло нужды говорить: «Забудьте всё, чему вас учили в институте», ведь невозможно забыть того, чего и не было в наших головах, в отличие от мыслей вашей девушки о Райане Гослинге. Может, минимальные знания и были, но их уж точно не хватало, чтобы адекватно воспринимать, то что обсуждают в офисе, и это никак не связано с тем, что у вас сложности с Райаном.
Главная проблема знаний, полученных в университете, заключалась в неравномерной подаче, без определенной последовательности и без понимания главной идеи сферы деятельности. Поэтому становится ясно, что первой нашей задачей стало изучение основ ИБ.
Глава 2. Дабл тап по ИБ после дабл капов
В первую неделю нашей работы в «ЛАНИТ-Интеграции» было не понятно, за что хвататься. Чтобы мы уяснили, чем занимается компания, кураторы собрали нас в переговорной, где в общих чертах объяснили, куда нам можно двигаться. Было принято решение поделить нас и давать знания в стиле «Одному — одно, другому — другое», так как отдел ИБ в «ЛАНИТ-Интеграции» делится на два основных направления: консалтинг и инжиниринг.
Первое направление подразумевает наличие глубоких знаний нормативно-правовой базы и международных стандартов в сфере ИБ. Помимо этого, консультантам необходимо хорошо разбираться в современных информационных технологиях, чтобы общаться с техническими специалистами заказчиков на одном уровне. Основная деятельность данного направления — это взаимодействие с клиентами, формирование набора мер по защите информации и трансляция технических требований инженерному направлению. Инженеры же прорабатывают полученные данные. Они должны понимать, какими средствами защиты лучшего всего воспользоваться в том или ином случае. Так что мы сразу начали осознавать, как устроен процесс и у кого какие обязанности.
Получилось так, что я оказался на направлении консалтинга, а мой друг — на инжиниринге. Мы решили, что еще рано жестко выбирать специализацию, так как еще не побывали на передовой. Поэтому мы взялись за разные задания в разных направлениях вместе. Вот тут и возникли первые трудности.
Задание консалтинга заключалось в изучении базовых законов и наиболее часто встречаемых правовых документов в деятельности "ЛАНИТ-Интеграции". Так что первыми в наш багаж знаний упали:
- ФЗ-149 «Об информации, информационных технологиях и о защите информации», на котором основывается вся правовая сторона об информации,
- ФЗ-152 «О персональных данных»,
- ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»,
- приказ ФСТЭК №21,
- приказ ФСТЭК №17,
- приказ ФСТЭК №235,
- приказ ФСТЭК №239,
- приказ ФСБ №378,
- Постановление Правительства №127,
- Постановление Правительства №1119.
Читать, изучать и понимать федеральные законы, постановления правительства и прочие документы в сфере ИБ нам давалось достаточно легко, а вот задание по техническому направлению — намного сложнее. Его суть заключалась в том, что нужно было подробно описать все средства защиты информации (СЗИ). Примеры таких систем — IPS/IDS, SIEM, PAM, DLP, межсетевые экраны и т.д.
Это не весь список, так как средств много, и они пересекаются между собой. Но даже для этого маленького списка было очень тяжело найти простую и нужную информацию, повествующую о принципах работы, а не об основных функциях. В институте нам редко доводилось встречаться с такими понятиями, как СЗИ, поэтому материал ложился плохо на хромающую техническую базу.
К концу первой недели мы поняли, что нам нужно структурировать получение информации и заложить правильную и грамотную основу. А в начале второй недели мы встретились с кураторами, чтобы обсудить материал и последовательность действий. В итоге пришли к соглашению, что изучать одинаковую информацию нам вдвоем удобнее и продуктивнее. Мы обсудили индивидуальный план развития на испытательный срок, в первый месяц которого включается книга Шон Харрис «CISSP All-In-One Exam Guide».
Каждый начинающий специалист по ИБ должен уделить время этой книге. Она была написана ещё в 2011 году. Некоторые вещи в ней уже не актуальны на сегодняшний день, но она очень информативна, затрагивает все аспекты обеспечения ИБ в организации: от физической безопасности и международных стандартов до подробного описания большинства протоколов и квантовой криптографии. Мы впитывали огромные объемы данных, написанные на понятном языке и грамотно структурированные. Параллельно с этим выполняли внутренние задачи. Например, такие, как составление опросников по различным средствам защиты информации. И даже побывали на встрече с одним из заказчиков. В ходе бесед коллег между собой мы слышали множество непонятных слов, которые тут же вбивали в поисковики, а найденную информацию записывали на стикерах и расклеивали, где только можно.
Мое рабочее место в первый месяц работы
Вторую и третью неделю мы продолжали изучать «CISSP All-In-One Exam Guide». Это занятие не обещало быть веселее и интереснее местного патихарда, но нам это требовалось, чтобы войти в курс дела. На прочтение девятисот страниц у нас ушло две недели. Технический материал ложился в
Глава 3. Коллектив и общение
На любом рабочем месте всегда важно обращать внимание на взаимоотношения людей внутри организации. Всегда хорошо, когда люди открыты и когда можно разговаривать на различные темы, касаемые не только работы. Особенно если речь идёт о том месте, где человек находится очень длительное время. Для меня было важно, чтобы я мог контактировать с коллегами и быть с ними на одной волне. В «ЛАНИТ-Интеграция» у меня не возникло никаких проблем в общении с кураторами и другими коллегами, разве что куча вопросов, затрагивающих непосредственно конкретную работу. Хочется их всех поблагодарить за помощь, внимание и большое терпение, которые они нам уделяют, ведь нам приходится много чего спрашивать, уточнять и исправлять. Взаимоотношения в нашем отделе я могу описать как добрые и свободные. Вспоминается сериал «Офис», я часто привожу аналогии с ним.
Хорошие взаимоотношения не ограничиваются только отделом. Они касаются всей организации в целом. Информация, которая распространяется внутри компании, всегда направлена на обеспечение эффективной и комфортной работы как в офисе, так и вне его. Сотрудники получают уведомления о том, как лучше добраться домой, поздравления с днем рождения, напоминания о праздниках и др. Все это делает атмосферу в коллективе теплее.
Глава 4. Конец испытательного срока и подведение итогов
В соответствии с договором у нас было три месяца на испытательный срок, по окончанию которого, должно быть принято решение о том, подходим ли мы компании «ЛАНИТ-Интеграция» или нет.
На протяжении этих месяцев мы изучали нормативно-правовые акты, средства защиты информации, посетили конференцию BISA Summit и мероприятие Positive Technologies, проводили анализ рынка информационной безопасности и IT-компаний, занимались разработкой документации для различных проектов и самое главное — впитывали много знаний и опыта. Нам стало ясно, что не стоит спешить с выбором направления в ИБ, поскольку и в консалтинге, и в инжиниринге есть как интересные виды деятельности, так и муторное заполнение документации. Необходимо иметь достаточную базу знаний и опыта в том или ином направлении, чтобы точно решить, что же нам по душе. Следовательно, на данный момент мы выполняем задачи и развиваемся в этих двух направлениях. Естественно, это не просто, но зато мы видим полную картину того, чем занимаются специалисты в области ИБ в нашей компании. Нам интересно заниматься тем, что мы делаем сейчас, пускай иногда задачи, напрямую не относящегося к ИБ в целом, но ими занимаются все и в этом нет ничего страшного.
В конце всего повествования хотелось бы отметить, что сложно сказать, что думают о нас коллеги и руководство: мы стараемся, а нам улыбаются. Что это значит, знают только они.
Итог испытательного срока будет известен уже после написания этих строк. Будем верить в лучшее. Всем добра и удачи, которая, надеюсь, и нас не оставит.
Статья написана вместе с RZhuravlev
P.S.
Продам ВАЗ 21011 1986 г., пробег 180к, цвет — спорт и роскошь
Цена договорная, торг у капота
8903363283* Максим
Автор: Максим