Архитектор ИБ: стратег безопасности в мире цифровых рисков

Архитектор ИБ —новая для IT профессия. Какие требования предъявляются к этим специалистам и каков круг их обязанностей, рассказывает Дмитрий Овчинников, архитектор информационной безопасности UserGate.

Архитектор ИБ - специалист, который отвечает за то, чтобы все элементы сети, все элементы средств защиты информации и ИТ-системы работали вместе в едином ритме и не нарушали работу друг друга. В небольших компаниях функции архитектора ИБ часто выполняет системный администратор. Крупные компании с сотнями сотрудников, которые к тому же работают с разными бизнес-системами, выделяют ИБ-архитектора в отдельную роль.

Прежде всего ИБ-архитекторов нанимают интеграторы, которые оказывают услуги по информационной безопасности. Если у интегратора 300–400 рабочих мест, то такой специалист обычно один, если более 500 - их может быть и два, тогда у каждого своя зона ответственности: к примеру, один отвечает за сеть, другой — за информационные системы. Кроме того, без ИБ-архитектора часто не обойтись разработчикам ПО, у которых сложная инфраструктура.

Сколько зарабатывает ИБ-архитектор

В России ИБ-архитектор зарабатывает в среднем от 250 до 400 тыс. руб. в месяц. Однако на hh.ru можно найти вакансии с окладом до 500 тыс. руб. При этом в большинстве вакансий конкретные цифры не указаны, поскольку круг обязанностей ИБ-архитектора очень сильно зависит от его обязанностей. Если архитектор ИБ занимается масштабными проектами с распределенной инфраструктурой, множеством интеграций и высоким уровнем требований к отказоустойчивости и соответствию нормативам, то его зарплата будет достаточно высокой. Если же он главным образом выполняет функции ИБ-администратора, зарплата будет ниже.

Отмечу, что функционал архитектора ИБ часто скрывается в таких вакансиях, как "ведущий специалист информационной безопасности", "администратор информационной безопасности" и т.п.

Обязанности ИБ-архитектора

Реализация современной системы обеспечения информации для компании является сложным делом, так каждый день появляются новые виды киберрисков, которые угрожают информационным системам и ИТ-инфраструктуре. Поэтому в обязанности архитектора ИБ входит следующее:

Оценка рисков ИБ для компании. Архитектор ИБ оценивает возможные риски ИБ применительно к ландшафту ИТ-инфраструктуры и информационных систем, при этом учитывает актуальные требования регуляторов и нормативных документов. На основе такой оценки производится разработка концепций и моделей защиты информации.

Проектирование систем защиты информации. После того как готова концепция или модель защиты информации, архитектор ИБ приступает к проектированию системы защиты информации. Проектирование начинается с разработки детального технического задания, в котором описываются требования и функции, которые должны быть реализованы системой защиты информации. Впоследствии техническое задание согласовывается со всеми заинтересованными сторонами и становится основным документом, по которому проверяют правильность и полноту работы системы защиты информации. После разработки технического задания идет стадия разработки документации. В зависимости от сложности системы сюда могут быть включены разные документы из состава технической, рабочей или эксплуатационной документации. Подобную работу обычно выполняет команда специалистов по ИБ и ИТ-инфраструктуре, а архитектор ИБ осуществляет стратегическую роль, решая те или иные спорные моменты.

Внедрение системы защиты информации. После того как система спроектирована, закупается необходимый комплект оборудования и лицензий на средства защиты информации и наступает этап пусконаладочных работ. На этом этапе архитектор ИБ контролирует процесс работ, следит за выполнением требований технического задания и при необходимости вносит корректировки в принятые решения.

Так как информационная безопасность это не состояние, а процесс, то после создания системы защиты у архитектора ИБ появляются другие обязанности:

Аудит состояния системы защиты информации. Архитектор ИБ следит за тем, что бы система защиты информации не деградировала со временем, а оставалась актуальной.

Обучение сотрудников. Человеческий фактор никто не отменял, поэтому необходимо обучать персонал правильному образу работы с информацией и следить за их уровнем компетенций.

Разработка политик и регламентов. ИБ - это непрерывный процесс, а любой процесс всегда опирается на выверенные и четкие политики и регламенты, которые покрывают все необходимые организационные мероприятия по защите информации.

Как видно из перечней обязанностей архитектора ИБ, такой специалист должен прежде всего обладать не только широкими, но и хорошей подготовкой в области современных ИТ-технологий и способах защиты информации. Примерный стек знаний, которые нужны современному архитектору ИБ, выглядит так:

• сетевые технологии и основы работы сетей;
• механизмы защиты операционных систем Linux и Windows;
• системы виртуализации и контейнеризации;
• криптографическая защита информации(шифрование, хэширование);
• межсетевое экранирование;
• веб-протоколы и принципы работы веб-сервисов;
• принципы и методы защиты информации и противодействия киберугрозам;
• навыки программирования и автоматизации;
• понимание концепции безопасной разработки и этапов разработки ПО;
• знание и понимание принципов построения комплексных систем защиты информации;
• знание нормативных документов в области защиты информации;
• знание особенностей защиты информации в отрасли, для которой разрабатывается система защиты информации.

В целом этот список не ограничивается перечисленными требованиями и в зависимости от сложности выполняемой задачи он может быть шире. Однако, кроме hard-скиллов, архитектору ИБ очень важно обладать хорошо развитыми soft-скиллами:

Умение слышать и слушать. Очень важно уметь правильно услышать владельцев бизнеса, понять их требования и устремления. Также важно прислушиваться к мнению рядовых пользователей, ведь если система защиты информации будет эффективной, но неудобной, пользователи начнут искать обходные пути и не будут соблюдать политики и требования ИБ.

Отличные аналитические навыки. Архитектор ИБ должен уметь не только видеть проблему, которую он решает посредством построения системы защиты, но и предвидеть возможные проблемы и еще на этапе разработки концепции снизить риски создания неработающей системы.

Критическое мышление. Очень важно уметь критически мыслить и при необходимости идти на компромисс — как с людьми, так и при разработке требований по защите информации.

Как мы видим, архитектор ИБ отличается от обычного специалиста по защите ИБ широким набором знаний и крепкими soft-скиллами. Рядовой специалист по ИБ обычно является отличным специалистом в какой-то одной области защиты информации или хорошо владеет каким-то одним стеком технологий. Архитектор ИБ должен знать больше, его знания должны быть шире и он должен обладать хорошими навыками руководителя, иметь развитый эмоциональный интеллект, аналитические способности. Он должен уметь хорошо управлять своим временем, работать не только в пределах своей задачи, но и уметь выйти за рамки мышления рядового исполнителя, думать не только на уровне обеспечения ИБ, но и держать в голове ориентир по решению бизнес-задач. Из хороших архитекторов ИБ получаются отличные директора по информационной безопасности.

Как стать архитектором ИБ

Классический путь до архитектора ИБ выглядит так: потенциальный архитектор ИБ — это отличный специалист по ИБ, который освоил несколько смежных областей в части защиты информации, хорошо знает ИТ-инфраструктуру и имеет базовый опыт проектирования. Если такой специалист расширит свой кругозор и знания в области ИБ еще шире, изучит управленческие компетенции, проектное управление - у такого сотрудника есть все задатки стать архитектором ИБ. Начать можно с небольших проектов, а потом постепенно переходить на более сложные и ответственные задачи.

Ключевые вызовы

Несомненный плюс работы архитектора ИБ в том, что она интересная. Во-первых, вы сталкиваетесь со многими вещами, о которых раньше даже не догадывались, и это здорово прокачивает ваши навыки, — как софт-, так и хард-скиллы. Во-вторых, эта работа всегда мотивирует оставаться на острие технического прогресса и изучать что-то новое. Например, последние десять лет очень популярен тренд на использование контейнеризации и микросервисной архитектуры. Знание этих технологий тянет за собой изучение многих смежных технологий и практик, например практики DevOps и знаний по автоматизации(написание скриптов, работа с системой контроля версий и ПО совместной разработки). Или взять пример построения современного SOC, который используют многие крупные заказчики. Тут необходимо знать не только как работает сам SOC, но и уметь очень тонко предвидеть тренды в области ИБ, следить за актуальными угрозами, уметь выстроить процесс устранения уязвимостей и контролировать поверхность атаки. Но отсюда же вытекает и главный минус: информации может быть очень много, и с ней надо уметь работать. В противном случае есть риск в ней утонуть и прийти к эмоциональному выгоранию. Поэтому следует быть аккуратным и соблюдать баланс. Поделюсь тремя собственными правилами, которые помогают мне в этом:

• Первое — не предаваться унынию и отчаянию. Вы всегда будете сталкиваться с разными сложными задачами, и самое главное — уметь их правильно разложить на составляющие, которые уже проще выполнить и решить.
• Второе — всегда иметь под рукой хорошо продуманный и проработанный план. Если вы работаете по плану, дело всегда движется, и проще избежать аврала.
• Третье: помнить, что планы хороши ровно до тех пор, пока они выполняются. Поэтому, если вы понимаете, что окружающая обстановка изменилась (например, урезали финансирование или сдвинули сроки), не бойтесь менять план.