Всем привет! Мы, Леонид Плетнев, бизнес-партнер по ИБ 1С-Битрикс, и Татьяна Мазаева, специалист по подбору персонала 1С-Битрикс, расскажем о том, как определиться с выбором профессии в области ИБ. Эта статья будет интересна школьникам и всем, кто задумывается о смене специальности или ищет новую работу.
Как известно информационная безопасность – это большая отрасль с разными специализациями, помогающими бизнесу снизить риски нарушения доступности, целостности и конфиденциальности данных. За этими тремя свойствами информации кроется многомерная кадровая система, требующая различных знаний и опыта.
Рынок профессии
Начнем с экономических показателей ИБ-отрасли. Здесь только хорошие новости: мировой рынок кибербезопасности показывает устойчивый рост 14,56% в год и по предварительным оценкам Gartner в 2025 году составил 213 млрд. долларов. Российский рынок демонстрирует еще более оптимистичные тенденции с прогнозируемым ростом в 21% и объемом в размере триллиона рублей к 2030 году.
В экономике смежных ИТ-направлений, которые влияют на ИБ, также прогнозируется уверенный рост за счет новых технологий таких как ИИ и агентские системы (на 37% в год), робототехника (на 14% в год), высокопроизводительные вычисления (на 6,7% в год), и т.п. Держим в уме возможности по горизонтальному карьерному росту.
На фоне экономического оптимизма существует сильная нехватка специалистов как на глобальном, так и на отечественном уровнях. Пока технологии будут развиваться текущими темпами, ситуация сохранится – каждый новый ИТ-вектор будет требовать пополнения в рядах защитников информации. Как следствие, зарплаты ИБ-специалистов останутся значительно выше средних на многих рынках труда.
Но на практике ИБ-бюджеты организаций часто невелики и работодатели вынуждены искать компромиссы, а нехватка кадров не означает легкого поиска работы – даже новичок должен соответствовать высоким запросам работодателей. Давайте рассмотрим их.
Софт-скиллы
Мы не зря начинаем именно с софтов. Не отменяя требований к хардовым знаниям, это очень востребованная зона компетенций.
На онтологическом уровне безопасность в организации выполняет следующие функции:

семантическая – подразделение ИБ совместно с бенефициарами и топ-руководством определяет и постоянно актуализирует текущий контекст организации, ее риск-аппетит, что для нее в общем смысле хорошо/безопасно, а что плохо/опасно;
аналитическая – после определения контекста, ИБ с владельцами бизнес-процессов прогнозирует угрозы, моделирует инциденты, оценивает риски, мониторит события; ИБ постоянно адаптируется к новым угрозам, старается действовать на опережение, не мешая бизнесу применять новые технологии;
дисциплинарная – ИБ создает, поддерживает и совершенствует контрольную среду, распространяющуюся на всех сотрудников и процессы организации, обеспечивает корпоративную культуру безопасности;
силовая – как «доброта должна быть с кулаками», так и ИБ должна оперативно и, если понадобиться, жестко реагировать на нарушения дисциплины и инциденты;
легитимная – ИБ в связке с другими обеспечивающими службами реализует все свои действия исключительно в правовом поле.

3 софт-скилла, которые важны для ИБ-специалиста
Умение работать в команде
Служба ИБ не может существовать в организации сама по себе. Она постоянно взаимодействует с менеджментом, с бизнесом, с производством, с ИТ, с юристами, финансистами, кадрами, различными обеспечивающими службами, провайдерами и поставщиками, клиентами. Конечно, если вы не любите общаться с людьми и отказываетесь развивать этот навык, то в ИБ тоже найдутся укромные специальности. При этом возможности для роста будут значительно ограничены.
Стрессоустойчивость, умение работать в условиях неопределенности
ИБ-специалисты постоянно находятся под давлением различных факторов, таких как: усложнение атак, постоянное ожидание возможного инцидента в любой момент, неизбежные конфликты интересов между «сервис работает, не трогай» и «сервис потенциально опасен и его нужно дорабатывать», недостаток ресурсного обеспечения и многозадачность, обеспечение соответствия большому массиву требований регуляторов, необходимость выполнения силовой функции. Все эти условия требуют от кандидата навыка стрессоустойчивости.
Адаптивность и умение расставлять приоритеты
Быстро меняющееся технологическое окружение в рамках семантической и аналитической функций требует от ИБ-специалиста постоянно находиться в контексте, уметь прогнозировать угрозы, моделировать инциденты, оценивать риски. Они обязаны постоянно адаптироваться к новым угрозам, действовать на опережение, не мешая бизнесу применять новые технологии. Все это требует от ИБ-специалиста любого уровня оперативно осваивать новые знания, менять собственные взгляды на устоявшиеся подходы к защите информации, действовать в условиях неопределенности и выбирать приоритетные направления для решения задач.
Селф-скиллы
Селф-скиллы иногда рассматриваются как часть мягких навыков, хотя в последнее время их выделяют в отдельное направление, рассматривая как базу для развития софт-скиллов. Дело не только в том, каким вы родились (например, интровертом или экстравертом, устойчивым к стрессу или нет), но и в том насколько вы готовы мотивировать себя к новым достижениям и к развитию недостающих компетенций. Такие навыки начинаются с «само-»: самопознание как умение знать свои плюсы и минусы, саморегуляция как смещение акцента с реактивного поведения на проактивное, саморефлексия как способность к анализу своих действий и др.
Хард-скиллы
5 основных хард-скиллов, которые необходимо развивать ИБ-специалисту:

Математика, логика, методы системного анализа (для начала на уровне программы высшего образования, далее в рамках изучения новых технологий, например, в криптографии);
Общие инженерные знания об архитектурах программного обеспечения и инфраструктурных решений, методах программирования, механизмах вычислений, способах обработки, хранения и передачи информации, механизмах организации доступа, средствах коммуникации и сетях, о шифровании;
Знания процессов и процедур управления информационными активами и системными компонентами, рисками, доступом, уязвимостями, инцидентами, мониторингом, разработкой ПО, обучением и знаниями, соответствием нормам и законам;
Владение инструментами автоматизации своей работы в части рутинных операций;
Умение применять AI-технологии.

В зависимости от выбранной специализации и технологического стека, на которых делается карьерный фокус, эксперту в течении профессионального развития необходимо уделять внимание знаниям и навыкам, указанным в таблице.

Специализация
Хард-скиллы
Дополнительные софт-скиллы

Безопасная разработка ПО
Знание одного и более стеков программирования: веб, бэкенд, мобильная/десктопная разработка, игры, данные и машинное обучение, инженерное ПО для IoT, АСУ ТП Знание угроз, уязвимостей, хакерских тактик для выбранного стека программирования Умение работать со сканерами статического анализа кода, средствами динамического тестирования и фаззинга Понимание цикла разработки безопасного ПО
Внимание к деталям Умение концентрироваться на задаче

Безопасное проектирование, интеграция и эксплуатация информационных систем
Знание одного или нескольких инфраструктурных стеков, объединяющих реализации классических клиент-серверных архитектур, монолитных и/или микросервисных архитектур, распределенных высоконагруженных систем, он-прем и облачных решений Понимание принципов работы протоколов на различных уровнях модели OSI Умение настраивать встроенные механизмы безопасности системных компонентов различных производителей: сетевое оборудование, виртуализация, контейнеризация, оркестрация, ОС, СУБД, хранилища данных, AI-компоненты Знание наложенных средств защиты: сетевой безопасности, шифрования, доступа, защиты серверов и конечных устройств, логирования и мониторинга Знание угроз, уязвимостей, хакерских тактик для выбранного архитектурного стека Умение работать с средствами анализа защищенности инфраструктуры
Лидерство Умение видеть картину на стратегическом, тактическом или операционном уровнях безопасности.

Мониторинг и реагирование
Знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание угроз, уязвимостей, хакерских тактик для выбранного архитектурного стека Умение работать с сигнатурами средств защиты Умение анализировать журналы безопасности от различных системных компонентов, задавать правила корреляции событий
Многозадачность Готовность брать ответственность на себя, действовать быстро Аналитическое мышление Умение видеть картину на тактическом и/или (в зависимости от должности) операционном уровнях безопасности

Расследование инцидентов
Знание правовой базы по выявлению и сбору свидетельств инцидента Знание угроз, уязвимостей, хакерских тактик и механизмов работы зловредного ПО Умение анализировать журналы безопасности от различных системных компонентов и коррелировать их в сценарий инцидента
Умение концентрироваться на задаче Внимание к деталям Аналитическое мышление

Анализ защищенности, пен-тесты
Знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание одного и более стеков программирования: веб, бэкенд, мобильная, десктопная, игры, данные и машинное обучение, инженерное ПО для IoT, АСУ ТП Умение работать с средствами анализа защищенности инфраструктуры и ПО Знание угроз, уязвимостей, хакерских тактик и зловредного ПО для выбранного архитектурного стека Знание тактик социальной инженерии
Внимание к деталям Аналитическое мышление

Исследования вредоносного ПО
Знание одного и более стеков программирования Знание угроз, уязвимостей, хакерских тактик Знание методов и инструментов реверс-инжиниринга, умение работать с дистрибутивами Знание механизмов и функций шифрования, обфускации Умение работать с средствами динамического тестирования и анализа приложений
Умение концентрироваться на задаче Внимание к деталям Аналитическое мышление

Аудит и обеспечение соответствия
Базовое знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание требований законодательства в области ИБ, практик регуляторов, рекомендаций вендоров и международных стандартизирующих организаций Знание встроенных механизмов безопасности системных компонентов различных производителей Знание наложенных средств защиты Умение проектировать дизайн контрольных процедур и внедрять контроли на системном уровне в организации Знание фреймворков оценки рисков
Многозадачность Внимательность к деталям

Разведка
Знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание угроз, уязвимостей, хакерских тактик, методов и векторов Умение работать с фреймворками (например, Mitre Att&ck) Умение анализировать журналы безопасности от различных системных компонентов Умение вести поиск информации в различных источниках
Системный подход Аналитическое мышление

Менеджмент
Наличие хард-скиллов в одной из специализаций выше Методы управления персоналом Оптимизация бизнес-процессов Управление проектами Финансовая отчетность
Лидерство Эмоциональный интеллект Умение видеть картину на стратегическом и тактическом уровнях безопасности

В какие компании можно устроиться специалистом по ИБ
Специалисты по информационной безопасности нужны везде: в компаниях финансового сектора, в ритейле, телекоме, промышленности, в ИТ-компаниях. Конечно же, специалисты требуются и в компании которые создают или внедряют решения кибербезопасности.
В зависимости от типа компании и ее размеров различаются требования к сотрудникам и возможности их развития.
Приведем несколько примеров — это не строгая классификация, а наблюдения, на базе которых можно определить контекст конкретного работодателя.
Работа ин-хаус в компании, чья прямая деятельность не связана с ИБ
В маленьких компаниях, до 100 человек, функции ИБ как правило совмещены с ИТ, а сами процессы обеспечения кибербезопасности отстроены слабо. Но тем не менее — это хорошая возможность для смены профессии, особенно для тех, кто планирует перейти в ИБ из ИТ.
В компаниях среднего размера, со штатом от 100 до 1000 человек, обычно уже есть выделенная служба ИБ — выделенное подразделение или несколько специалистов в составе ИТ-отдела. Те, кто планирует работать в такой компании, могут рассчитывать на быстрый карьерный рост, а также на возможность одновременно заниматься различными направлениями ИБ и быстро наращивать свои навыки.
В крупных компаниях соискателя ждет работа в службе ИБ, которая может быть представлена несколькими отделами и часто входит в состав Службы безопасности.
Сотрудник получает последовательный, стабильный и относительно прозрачный карьерный путь в рамках компании или возможность горизонтального роста за счет перехода в смежные подразделения.
В компаниях-интеграторах и вендорах ИБ-решений
У интеграторов есть своя специфика:

Проектно-ориентированная работа или аутсорсинговый сервис (например, SOC)
Важная часть работы каждого сотрудника, выполняющего проект или оказывающего услуги — коммуникация с клиентом
В бизнесе есть сезонные нагрузки, связанные с сезонностью задач у клиентов, пик обычно выпадает на конец года.

Соискателю важно понимать, что его рост в компании определяется четкими бизнес-критериями успеха. Чем больше успешных проектов — тем больше бонусов и быстрее рост. При этом сотрудник получает возможность быстро нарастить опыт за счет большого количества проектов в компании.
Работа в компании, которая разрабатывает ИБ-решения — это участие в процессе разработки ПО или программно-аппаратных комплексов. Для соискателя —возможность поучаствовать в реализации подходов ИБ как конвейер, ИБ как код. Многих кандидатов мотивирует сам факт работы в компании, которая обеспечивает своими продуктами безопасность одной или нескольких отраслей.
Как выглядит найм изнутри
На рынке труда не только работодатель выбирает кандидата, но и кандидат может выбирать компанию, особенно на фоне дефицита кадров. Соискатели ориентируются не только на уровень заработной платы, интерес к конкретному сегменту и уровень проектов в компании. Все больше внимания при выборе места работы кандидаты уделяют условиям труда, возможностям роста и развития. Ниже несколько наиболее популярных сейчас условий, которые соискатели тщательно оценивают, а работодатели стараются соблюдать.
Условия, снижающие профессиональное выгорание:

Гибкий график и дистанционная работа: базовое требование для многих.
ДМС и программы ментального здоровья: компании-лидеры включают в пакет медицинской страховки дополнительные опции психологической поддержки, консультации со специалистами по управлению стрессом и выгоранием.
Культура доверия и отсутствие микроменеджмента: специалист по ИБ ищет в компании среду, где ценится экспертиза и дается свобода в принятии решений в своей зоне ответственности.

Свобода развития и отсутствие рутины: специалистам в ИБ важен постоянный доступ к новым технологиям, разнообразие задач, возможность реализовывать все более сложные проекты.
Подходящая корпоративная культура: соискателю важна открытость работодателя на этапе найма и четкое понимание отношения к ИБ в компании — рассматривают ли ИБ как бизнес партнера, или как «отдел, который всегда говорит „нет“».
Возможность смены локации: ИБ как международная профессия позволяет хорошему специалисту выбирать не только город, но и страну работы. Этот фактор может стать решающим для удержания ценного сотрудника.
Карьерные треки в ИБ
В большинстве компаний, где требуются специалисты по ИБ, уже реализованы ключевые элементы кадровой системы: грейды (junior/middle/senior) с формализованными требованиями и критериями перехода между ними, регулярные performance-ревью (оценки эффективности), на основе которых принимаются решения об изменении грейда.
На собеседовании кандидат может всегда уточнить перспективы и варианты своего карьерного роста, задать простой вопрос «Кем я могу здесь стать?»
Вертикальный рост:

Карьерный трек: например, Специалист по информационной безопасности (Junior) → Ведущий/Главный специалист по информационной безопасности (Middle/Senior) → Технический лидер, архитектор (Tech Lead / Security Architect) → Директор по кибербезопасности (CISO).
Управленческий трек: например, Исполнители (Specialist) → Руководитель направления или небольшого подразделения (Team Lead / Middle Manager) → Руководитель нескольких направлений (Head of Department) → Директор по кибербезопасности (CISO).

Горизонтальный рост:

Специалист может менять фокус внутри ИБ, не уходя из компании.

Например: специалист 2 линии SOC может перейти на должность аналитика уязвимостей ПО, а аналитик уязвимостей ПО – в команду анализа защищенности (Red Team), а еще можно стать ИБ-чемпионом в отделе разработки. Это предотвращает профессиональное выгорание и создает уникальных экспертов широкого профиля.

Переход из смежных IT-областей в ИБ. Этот вариант тоже может быть профессиональным ростом для самого специалиста. Для компании это кадровый резерв: опытный системный администратор или разработчик часто становится блестящим специалистом по информационной безопасности, потому что досконально понимает защищаемую систему изнутри.

Найм выпускников и начинающих специалистов
Компании часто нанимают выпускников и молодых специалистов без опыта, а затем дообучают их на практике. Это помогает создавать надежный кадровый резерв. На что смотрит рекрутер, оценивая новичка без опыта?

База и потенциал: Наличие профильного образования (информационная безопасность, прикладная математика) важный критерий, при этом не всегда обязательный. В первую очередь оценивается технический бэкграунд, наличие стажировок, начальной практики.
Жажда знаний и проактивность: Проекты на GitHub, пройденные курсы (Stepik, Coursera, HTB, TryHackMe), сертификаты начального уровня, участие в CTF-соревнованиях. Это показывает мотивацию и инициативу.
Мышление и «мягкие навыки»: Аналитический склад ума, умение логически мыслить, внимательность к деталям. Грамотная речь и способность задавать правильные вопросы.
Энтузиазм и культурное соответствие: Искренний интерес к сфере ИБ, а не просто желание «войти в айти». Готовность учиться новому.

Практические советы для молодых специалистов

Начинайте общаться с потенциальными или будущими работодателями как можно раньше, изучите вакансии на рекрутинговых сайтах. Посмотрите требования к молодым специалистам на специализациях, которые вам нравятся, составьте личный план собственного развития
Не стремитесь сразу получать хорошую зарплату, главное начать нарабатывать практический опыт в компании. Это могут быть и бесплатные стажировки, которые дадут вам навыки, знакомства, понимание того, в каких областях нужно развиваться.
Изучите платформы поиска уязвимостей Bug Bounty от компаний — чтобы найти типовую уязвимость часто достаточно базовых знаний. Для вас участие в проекте — это возможность показать работодателю свою вовлеченность и интерес к работе.
Изучите международные фреймворки и учебные пособия от ISACSA, ICS, EC-Council, OffSec, ISO, OWASP, NIST – не обязательно сдавать экзамен, тем более для сертификата обычно требуется выполнить квалификационные требования, но это один из источников получения практических знаний. Добавьте к этому частные статьи на Хабре, отчеты от ведущих ИБ компаний России и мира.
Не пропускайте основные ИБ-конференции и форумы (обычно можно бесплатно участвовать онлайн или смотреть записи на видеохостингах) – это позволить быть в актуальной повестке.

Заключение
В заключение приведем субъективный взгляд на плюсы и минусы профессии со стороны специалиста. Пишите в комментариях ваши оценки, что вам нравится в профессии, а что нет, как вы справляетесь с минусами и в целом, нужно ли идти в профессию?
Плюсы

Сквозная профессия, необходимая в большинстве отраслей. Относительно узкоспециализированных направлений, на рынке труда всегда будет большее количество предложений
Возможность переходить в различные смежные направления в рамках ИБ — от научных изысканий (например, в криптографии) до сугубо практических аспектов (например, тестов на проникновение)
Возможность переходить в смежные отрасли, как минимум в ИТ
Долгосрочная положительная динамика роста рынков ИТ и ИБ
Технологичность, быстрые изменения, возможность постоянно развиваться
Относительно высокие зарплаты, не только из-за дефицита специалистов, но из-за высокой технологичности
Хороший соцпакет от многих работодателей
Возможность построить международную карьеру без потери соцпакета и других плюсов

Минусы

Высокая ответственность, стресс в ожидании возможного инцидента или в момент инцидента
Часто ИБ обеспечивающая служба, а не приносящая напрямую доход компании — сложнее мотивировать себя и сложнее добиваться ресурсов у топ-менеджмента
Дефицит кадров помогает быстрее найти работу, но и работать приходиться в условиях этого дефицита, что может привести к высокой загрузке и выгоранию
Любой рост рано или поздно заканчивается и нужно быть готовым конкурировать в период кризиса, что с учетом высокой технологичности – сложная задача
Высокий спрос и динамика изменений может приводить к низкому качеству подготовки молодых специалистов, с которыми вы можете оказаться в одной команде.
Необходимость совмещать работу и учебу также может повысить уровень стресса на фоне высокой загрузки.