Главная » Хабрахабр » Как мы попали в отдел ИБ большой компании и начали в ней работать. Дневник двух молодых и перспективных специалистов

Как мы попали в отдел ИБ большой компании и начали в ней работать. Дневник двух молодых и перспективных специалистов

Вот уже три месяца мы, двое студентов четвертого курса, работаем в отделе информационной безопасности "ЛАНИТ-Интеграция". Мы хотели бы поделиться своими впечатлениями от этого этапа вхождения в профессию и в большой ИТ-бизнес. Эта статья будет полезна всем, кто собирается устраиваться на работу по специальности или кому интересно, с чего нужно начинать изучение курса «Информационная безопасность». Она поможет понять, что примерно вас будет ждать в первые месяцы работы в крупной компании, какие проблемы возникнут на пути, а самое главное — как их решать.

Источник

Глава 1. Информационная безопасность с нуля или …

Далеко не секрет, что в России студентам после окончания университета сложно найти работу по их специальности, не говоря уже о хорошей практике во время учебы. Люди, полные желания усваивать знания и работать, вынуждены слушать отказы от каждого работодателя, требующего сразу большой опыт работы. Такой подход прочно закрепился в России, из-за чего молодые умы и действительно хорошие ребята, закончившие институт, должны идти работать в любимые нами булочные под контролем тех, кто не доучился и решил трудиться в местной столовке ещё на первом курсе или после армии. Как ни крути, но это не значит, что абсолютно всех ждет такая участь.

В процессе поиска рабочего места, мы столкнулись с типичными проблемами нашего профиля обучения и не только. Будучи студентами третьего курса специальности «Информационная безопасность» университета на «Курской» и находясь в ожидании очередной сессии, наша группа занялась поиском организаций, которые позволили бы пройти у них производственную практику по нашей специальности. Дело в том, что у нас не хватает опыта работы и даже практики (хотя мы за ней и пришли), и в том, что руководители организаций сами не знают, куда бы нас поместить для наилучшего функционирования ИБ в компании.

Появляется страх, что мы окажемся среди людей, не устроившихся на работу по специальности, на которую уже потрачена часть жизни. В итоге за три года обучения полученные знания не позволяют ярко описать картину, которая будет ждать нас после окончания университета.

Так вышло, что специальность важная, но обучение по этой специальности развивается плохо. «Информационная безопасность» — словосочетание, которое где-то кто-то быть может и слышал, но не придавал ему особенно большого значения.

Цель мероприятия заключалась в том, чтобы найти достойных людей для стажировки в представляемой им компании. В процессе поиска места работы мы уже отчаялись, но желаемое пришло к нам в университет само в лице руководителя отдела ИБ компании "ЛАНИТ-Интеграция" с предложением посетить День открытых дверей. Мы обрадовались появившемуся шансу, хотя со стороны нам показалось, что это выглядело так, как еле протоптанная по газону дорожка трехногого мопсика врезается в автомагистраль с бесконечным числом полос.

От нас не требовалось быть мастерами в сфере ИБ, нужно  было лишь показать свое искреннее желание и целеустремленность в обучении и развитии. Мне и моей группе повезло, что руководитель отдела информационной безопасности «ЛАНИТ-Интеграции» относится к тем, кто помогает и даёт шанс молодым людям при устройстве на работу.

Мы выслушали выступление руководства компании и приступили к написанию вступительных тестов. На Дне открытых дверей нас встретили чаем и печеньками. Также нужно было написать сочинение на тему «Почему я хочу работать здесь». Их было три: на знание технической части, английского и тест на IQ. Написав очень специфическое сочинение, я надеялся, что оно зацепит читателей своей неординарностью. Нас сразу предупредили, что знания на данном этапе — не панацея, главное — продемонстрировать свое желание развиваться в сфере IT. И это зашло.

Мы заняли роль Хатико в преддверии важного ответа после встречи. Следующим этапом было ожидание. Когда были объявлены результаты встречи, мы поняли, что не зря всё это затеяли, и то, что нам дадут шанс проявить себя уже в штате отдела информационной безопасности. Мы хотели быть лучшими среди всех, кто пытался попасть в ЛАНИТ, но до дрожи в коленках боялись, что нас пустят мимо кассы.

В первые дни нашего знакомства с коллегами у них не возникло нужды говорить: «Забудьте всё, чему вас учили в институте», ведь невозможно забыть того, чего и не было в наших головах, в отличие от мыслей вашей девушки о Райане Гослинге. В первый день заполнили все, что от нас требовалось, закинулись дешёвыми булками из ближайшей палатки, как подобает бедным студентам, и уже были готовы исследовать новую главу нашей жизни, которая на данный момент еще не открыта и может слипнуться в любой момент, как страницы с девушками из автомобильного журнала в руках четырнадцатилетнего подростка 90-х. Может, минимальные знания и были, но их уж точно не хватало, чтобы адекватно воспринимать, то что обсуждают в офисе, и это никак не связано с тем, что у вас сложности с Райаном.

Источник

Поэтому становится ясно, что первой нашей задачей стало изучение основ ИБ. Главная проблема знаний, полученных в университете, заключалась в неравномерной подаче, без определенной последовательности и без понимания главной идеи сферы деятельности.

Глава 2. Дабл тап по ИБ после дабл капов

В первую неделю нашей работы в «ЛАНИТ-Интеграции» было не понятно, за что хвататься. Чтобы мы уяснили, чем занимается компания, кураторы собрали нас в переговорной, где в общих чертах  объяснили, куда нам можно двигаться. Было принято решение поделить нас и давать знания в стиле «Одному — одно, другому — другое», так как отдел ИБ в «ЛАНИТ-Интеграции» делится на два основных направления: консалтинг и инжиниринг.

Помимо этого, консультантам необходимо хорошо разбираться в современных информационных технологиях, чтобы общаться с техническими специалистами заказчиков на одном уровне. Первое направление подразумевает наличие глубоких знаний нормативно-правовой базы и международных стандартов в сфере ИБ. Инженеры же прорабатывают полученные данные. Основная деятельность данного направления — это взаимодействие с клиентами, формирование набора мер по защите информации и трансляция технических требований инженерному направлению. Так что мы сразу начали осознавать, как устроен процесс и у кого какие обязанности. Они должны понимать, какими средствами защиты лучшего всего воспользоваться в том или ином случае.

Мы решили, что еще рано жестко выбирать специализацию, так как еще не побывали на передовой. Получилось так, что я оказался на направлении консалтинга, а мой друг — на инжиниринге. Вот тут и возникли первые трудности. Поэтому мы взялись за разные задания в разных направлениях вместе.

Так что первыми в наш багаж знаний упали: Задание консалтинга заключалось в изучении базовых законов и наиболее часто встречаемых правовых документов в деятельности "ЛАНИТ-Интеграции".

  • ФЗ-149 «Об информации, информационных технологиях и о защите информации», на котором основывается вся правовая сторона об информации,
  • ФЗ-152   «О персональных данных»,
  • ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации»,
  • приказ ФСТЭК №21,
  • приказ ФСТЭК №17,
  • приказ ФСТЭК №235,
  • приказ ФСТЭК №239,
  • приказ ФСБ №378,
  • Постановление Правительства №127,
  • Постановление Правительства №1119.

Читать, изучать и понимать федеральные законы, постановления правительства и прочие документы в сфере ИБ нам давалось достаточно легко, а вот задание по техническому направлению — намного сложнее. Его суть заключалась в том, что нужно было подробно описать все средства защиты информации (СЗИ).  Примеры таких систем — IPS/IDS, SIEM, PAM, DLP, межсетевые экраны и т.д.

Но даже для этого маленького списка было очень тяжело найти простую и нужную информацию, повествующую о принципах работы, а не об основных функциях. Это не весь список, так как средств много, и они пересекаются между собой.    В институте нам редко доводилось встречаться с такими понятиями, как СЗИ, поэтому материал ложился плохо на хромающую техническую базу.

А в начале второй недели мы встретились с кураторами, чтобы обсудить материал и последовательность действий. К концу первой недели мы поняли, что нам нужно структурировать получение информации и заложить правильную и грамотную основу. Мы обсудили индивидуальный план развития на испытательный срок, в первый месяц которого включается книга Шон Харрис «CISSP All-In-One Exam Guide». В итоге пришли к соглашению, что изучать одинаковую информацию нам вдвоем удобнее и продуктивнее.

Она была написана ещё в 2011 году. Каждый начинающий специалист по ИБ должен уделить время этой книге. Мы впитывали огромные объемы данных, написанные на понятном языке и грамотно структурированные. Некоторые вещи в ней уже не актуальны на сегодняшний день, но она очень информативна, затрагивает все аспекты обеспечения ИБ в организации: от физической безопасности и международных стандартов до подробного описания большинства протоколов и квантовой криптографии. Например, такие, как составление опросников по различным средствам защиты информации. Параллельно с этим выполняли внутренние задачи. В ходе бесед коллег между собой мы слышали множество непонятных слов, которые тут же вбивали в поисковики, а найденную информацию записывали на стикерах и расклеивали, где только можно. И даже побывали на встрече с одним из заказчиков.

Мое рабочее место в первый месяц работы

Это занятие не обещало быть веселее и интереснее местного патихарда, но нам это требовалось, чтобы войти в курс дела. Вторую и третью неделю мы продолжали изучать «CISSP All-In-One Exam Guide». Технический материал ложился в мозг местами очень тяжело, но суть была понятна. На прочтение девятисот страниц у нас ушло две недели. Оно несет самую большую ответственность за всю информацию, активы и персонал, а значит должно всячески способствовать защите информации и созданию необходимых условий для функционирования системы ИБ. Самое главное, что мы поняли, — идея ИБ должна исходить от руководства. Каждый уровень описывается подробно с аналогиями и, самое главное, понятно. Также в книге хорошо описана деятельность на разных уровнях:  административном, физическом, техническом. Эта книга поможет всем, кто хочет понять, что же это такое ИБ, пусть не очень глубоко, но понимание уже появится, а это и есть фундамент.

Глава 3. Коллектив и общение  

На любом рабочем месте всегда важно обращать внимание на взаимоотношения людей внутри организации. Всегда хорошо, когда люди открыты и когда можно разговаривать на различные темы, касаемые не только работы. Особенно если речь идёт о том месте, где человек находится очень длительное время. Для меня было важно, чтобы я мог контактировать с коллегами и быть с ними на одной волне. В «ЛАНИТ-Интеграция» у меня не возникло никаких проблем в общении с кураторами и другими коллегами, разве что куча вопросов, затрагивающих непосредственно конкретную работу. Хочется их всех поблагодарить за помощь, внимание и большое терпение, которые они нам уделяют, ведь нам приходится много чего спрашивать, уточнять и исправлять. Взаимоотношения в нашем отделе я могу описать как добрые и свободные. Вспоминается сериал «Офис», я часто привожу аналогии с ним.

Они касаются всей организации в целом. Хорошие взаимоотношения не ограничиваются только отделом. Сотрудники получают уведомления о том, как лучше добраться домой, поздравления с  днем рождения, напоминания о праздниках и др. Информация, которая распространяется внутри компании, всегда направлена на обеспечение эффективной и комфортной работы как в офисе, так и вне его. Все это делает атмосферу в коллективе теплее.

Источник

Глава 4. Конец испытательного срока и подведение итогов

В соответствии с договором у нас было три месяца на испытательный срок, по окончанию которого, должно быть принято решение о том, подходим ли мы компании «ЛАНИТ-Интеграция» или нет.

Нам стало ясно, что не стоит спешить с выбором направления в ИБ, поскольку и в консалтинге, и в инжиниринге есть как интересные виды деятельности, так и муторное заполнение документации. На протяжении этих месяцев мы изучали нормативно-правовые акты, средства защиты информации, посетили конференцию BISA Summit и мероприятие Positive Technologies, проводили анализ рынка информационной безопасности и IT-компаний, занимались разработкой документации для различных проектов и самое главное — впитывали много знаний и опыта. Следовательно, на данный момент мы выполняем задачи и развиваемся в этих двух направлениях. Необходимо иметь достаточную базу знаний и опыта в том или ином направлении, чтобы точно решить, что же нам по душе. Нам интересно заниматься тем, что мы делаем сейчас, пускай иногда задачи, напрямую не относящегося к ИБ в целом, но ими занимаются все и в этом нет ничего страшного. Естественно, это не просто, но зато мы видим полную картину того, чем занимаются специалисты в области ИБ в нашей компании.

Что это значит, знают только они. В конце всего повествования хотелось бы отметить, что сложно сказать, что думают о нас коллеги и руководство: мы стараемся, а нам улыбаются.

Будем верить в лучшее. Итог испытательного срока будет известен уже после написания этих строк. Всем добра и удачи, которая, надеюсь, и нас не оставит.

В компании, кстати, есть стажёрские позиции

Статья написана вместе с RZhuravlev

S. P.

Продам ВАЗ 21011 1986 г., пробег 180к, цвет — спорт и роскошь
Цена договорная, торг у капота
8903363283* Максим


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Из песочницы] Создание домашнего медиацентра. Пролог

Пролог Всё имеет своё начало. Вот и эта история началась с желания иметь свой медиацентр. Внимательно присмотревшись к предложениям продавцов, я понял, что серийные модели не удовлетворяют мои потребности. А аппетит у меня здоровый… Сразу приведу перечень моих пожеланий: Всё ...

Дайджест интересных материалов для мобильного разработчика #279 (10 — 16 декабря)

В новом дайджесте у нас шикарное расследование про геолокацию и то, как приложения делятся данными с рекламодателями, Metal и SceneKit для разработчиков, история приложения на $500,000, лучшие SDK, рост и реклама 2018. SceneKit — высокоуровневый фреймворк трехмерной графики в iOS, ...