Comments
Требования усредненные. АВ сектор тут слабо представлен, но требования обычно чуть выше, даже для т.н. «дятлов».
Поддерживаю проходил несколько раз интервью на позицию — security officer и всегда спрашивали про опыт работы с radare2/IDA/Olly — IDA просто must have. Просят что-нибудь дизассемблировать на интервью( один раз вообще прям тут же свеже-криптованную адаптацию Zevs`a под android, на почту, письмом скидывают, вообщем интересные интервью на этих позициях.)

В статье набор требований для junior и middle не похож на настоящий( для западного рынка крайней мере). Тут скорее имелся ввиду админ-безопасник для средне-статистического российского банка.

Да также про X-Spider, Max-Patrol на западе мало кто слышал. Без обид ребята.
Требования и навыки взяты с сайтов по размещению вакансий, что указывают работодатели/HR — то я и указал в статье.

Боже, на каком я до сих пор дне… сколько еще всего учить. Спасибо за статью.

Я может быть не увидел, а где РП? У интеграторов Пи-Эмы занимаются проектами, а не «Вершина пирамиды (lead)»…
ПиЭмы в общем случае знают только методологию работы с проектом, продвижения проекта по фазам, планирование и бюджетирование. Опять же, как правило, они понятия не имеют о конкретных рисках, угрозах, атаках и защите, и имеют исключительно общее представление об ИБ — на уровне CISM. Менеджер проекта это не техническая должность. Хорошо когда ПиЭм вырос из аналитика ИБ, но это дорога в чистое управление, и путь к утрате любых технических знаний в сфере ИБ.
Но профессия ПиЭм в ИБ тоже существует… Теперь я понял, что статья ориентирована только на техническую сторону профессий в ИБ. Спасибо за ответ.
Выглядит как довольно грустная карьера. Безумные требования по социализации, и связям, дурацкие регламенты, которые надо знать, и умеренная з/п даже спустя годы и годы.
amarao
Насколько я понял, Вы работаете в другой стране. Можете на своём опыте (и\или на опыте Ваших знакомых) провести хотя бы какое-то сравнение? Спрашиваю не для того, чтоб поспорить. А чтобы читатели комментария (такие как я) лучше понимали как Вы пришли к своему выводу (может, поэтому кто-то уже минусанул Ваш коммент на момент написания этого текста). Да и вообще, жутко интересно каково это: работать «там» (в смысле — за границей). Хотя, наверное, развёрнутый ответ будет уже претендовать на отдельную статью
Работать спокойно, жить спокойно. Никаких «вставаний с колен» и необходимости «перетерпеть для доказательства величия страны».
А смысл быть таким спецом в России, точнее даже в Москве?

Сколько здесь платят спецам уровня того же Лео Соснина например? При том, что сам Лео в США претендует на суммы вида до 200к$ в год, если я не путаю.
Кого что интересует. Я знаю не одного человека, который из Питера в Москву не торопится переезжать (на з\п выше). Что уж говорить про иммиграцию (которую мудрые люди советуют не путать с туризмом)
Может, я делаю неверные выводы. Но мой опыт на такой вывод наталкивает.
Не более года назад я размещал (на некоторое время) своё резюме на хедхантере. Мне стоило определённых усилий составить так, чтоб с одной стороны довольно полно описать свои навыки. С другой — не перегружать излишними деталями. Сознательно не стал указывать желаемую з\п — чтоб знать сколько мне могут предложить. Мои ожидания были точно не выше тех расценок, что тут в статье указаны. По должности — начальник отдела или руководитель группы.
Итог: за 3 месяца поступали предложения в других городах (Москва, Казань; я из Питера) и на меньшую з\п (относительно той, которая уже была у меня на моём текущем месте работы).
В итоге вывод: чем выше должность, тем сложнее найти на неё работу в своём городе, с указанными в стетье з\п. Во всяком случае, просто разместив резюме.
мы поможем получить и применить нехватающие знания, и как следствие повысить уровень Ваших навыков и востребованность на рынке труда

На основании чего сделано заявление? Неужели есть статистика вида: «X клиентов (желающих трудоустроиться на з\п выше текущей) получали з\п=Y(x) прошли наши курсы и теперь получают Z(x). Где Z(x) > Y(x)»?
Это какая-то странная карьера и странные требования.
Про криптографию ни слова. Везде сплошной web и системная, прости господи, администрация. Английский в требованиях — только и seniors (а должен быть у выпускника средней школы).Про самостоятельный поиск уязвимостей без сканеров написанных кем-то другим — ни единого слова.

Ни IDA, ни отладчиков, ни систем анализа исходного кода нет (даже про клокворк ни слова).
Про ассемблер — ни слова. Про embedded и прочий IOT — опять ни слова. SDL нет.
Разработка собственных методик/утилит — только на уровне senior(а должен быть junior).

Короче, эти вряд ли научат чему то полезному.

Ну надо же как синхронно минусуют, обалдеть можно.
Это из за того, что здесь рекламный хаб или вам английские слова перевести?
«Администрирование межсетевых экранов Cisco ASA и Kerio Connect;»
У Вас неточность в обязанностях. Kerio Connect — это почтовый сервер.
Наверное имелось ввиду Kerio Control.
Взгляд со стороны.
Недавно была статья в хабе разработка. Стажер — находка для шпиона https://habrahabr.ru/post/306066/
И там в комментариях очень много мыслей на тему что в реальном бизнесе ИБ не особо и нужна, или если и нужна то минимальная т.к. замедляет продуктивность, стопорит скорость разработки внедрения изменений и т.д.
В этой же статье пишут что профессия востребована и повсеместно полезна и чем дальше тем все более полезнее.
И кому верить в итоге?
Работа ИБ специалиста очень востребованна. Профессионалов в области ИБ катастрофически не хватает.
Сам я пентестер (OSCP+OSCE), живу в Израиле, фактический опыт работы 2 года, Senior, и немного не согласен с автором по поводу требований и навыков.
К примеру:
1. Высшее ИБ/ИТ образование — никому не нужно если ты мастер своего дела и умеешь говорить правильные слова. Покажи на что ты способен, и скажи сколько ты стоишь.
2. Статусы Junior/Middle/Senior зависят не от кол-ва лет работы, а от опыта впринципе. Опять же, на собеседовании не мыкай и не тянись в дальние области своей памяти за ответом. (два года в сфере, тоесть я еще должен быть junior… ага.)
Тут должно быть предельно просто: junior — должен уметь пользоваться програмками и скриптиками, senior — должен знать как эти программы работают и быть способным написать такое же с нуля в nano.
3. Требования действительно в IT отдел а не в ИБ.
4. Узкая специализация? Согласен, но не совсем. Можно сказать так: Junior должен уметь делать 2 + 2, когда Senior должен уметь складывать и вычитать переменные из разных сфер и техник. Тем самым, с опытом работы специализация должна становиться шире а не уже.

Зарплаты пентестеров и консультантов ИБ в Израиле:
Тут всё зависит от компании в которой работаешь. Если это консалтинг, то выше 5500$ не прыгнешь. Но если это фирма производящая какой-либо продукт (к примеру PayPal, Akamai, General Motors, Sales Force и тому подобные) потолок з/п который мне приходилось слышать +- 10500$ в месяц.
Начинающий пентестер до 1 года опыта: 2000$
Более опытный 1-3 года: 2500 — $5500 в месяц. Конечно же, зависит от реальных навыков.
А теперь интересный факт: стоимость одного часа работы консультанта за границей (включая Россию) начинается с 250$.
Тоесть нижняя планка для ИП: 250 * 8 часов * 22рабочих дня = 44k$ в месяц
Ах да, меня всегда раздражает упоминание зарплат в какой-либо стране, без учета стоимости на проживание в той же стране.
Так, на вскидку (цены в Израиле, цены приведены в рублях по курсу на сегодня):
Литр молока: 100р
Хлеб: 170р
Пачка мальборо: 570р
0.5 пива в баре: 500р
Съем 2-х комнатной квартиры в ~центре страны: 60,000р
Новая Mazda3: 2,000,000р
Делайте вывод сами.

Статья конечно реклама, но тоже выскажусь.
Хочешь чему-то научиться и работать в infosec сфере? Строй самостоятельно лабы, взламывай виртуалки из vulnhub, бери всемирно известные курсы и не спи ночами.
Всё.

P.S. и да, английский нужен всем.

Смотрю затронули тему криптографии. Лично я считаю, что ИБ может рекомендовать определенные стандарты шифра для той или иной информации, но сама реализация и т.д должна уходить на отдел криптоаналитиков и криптографов. Т.к из выше описанного я вижу, что специалист ИБ больше относится к проектировке и внедрению систем безопасности. А криптография сама по себе входит в уже готовые системы ИБ.
Допустим в компанию решили установить Lotus Notes, программа уже сама по себе обладает шифрованием. И когда ее представляет специалист, то он уже укажет на то, что сообщения и доступ к профилю без id файла — получить затруднительно (все зависит от выбора шифра и его стойкости).


Поправьте, если понял что-то не так.

Only those users with full accounts are able to leave comments. Log in, please.