Контакты
Подписка 2025

Какое образование нужно для SDL, и где искать кадры?

Редакция журнала "Информационная безопасность", 07/09/23

Один из ключевых вопросов:: какое образование и квалификация необходимы для специалистов по безопасной разработке, и где можно найти кадры, способные успешно реализовать методологию SDL. От обзора важных компетенций до практических советов по найму и обучению, - эксперты сообщества SDL помогут разобраться в этой важной теме.

ris22

Роман Борзов, Андрей Кузнецов, Фобос-НТ:

Поиск специалистов – важнейшая, но непростая задача, так как подразумевает выборку из ограниченного числа высококвалифицированных специалистов. Поэтому не стоит бояться брать молодых специалистов без опыта и обучать их под себя. Один из способов решения данного вопроса – обратить внимание на "студенческую скамью" в поисках горящих глаз.

Борис Позин, ЕС-лизинг:

Найти специалистов сейчас негде, нужно самим их готовить. Вот мы этим и занимаемся.

Валерий Черепенников, Nizhny Novgorod Research Center:

Как мне сказал один человек, программисты SDL – в общем, обычные программисты и найти их не так уж сложно, но гораздо сложнее – тех, кто будет ставить им задачи, они на вес золота. И уровень образования, на мой взгляд, требуется достаточно серьезный, ведь для того, чтобы корректно ставить задачи, необходимо полное понимание программного и части аппаратного стека, понимание уязвимостей и как их избегать. Кроме того, еще понимание нормативки и стандартов. Это требует хорошего образования (как минимум магистратура) и еще некоторого опыта. На рынке наблюдается изрядный дефицит такого рода специалистов. Более того, у меня нет четкого понимания, кто их готовит. Есть ощущение, что они произрастают сами и штучно. С определенной надеждой наблюдаю за попытками ИСП РАН в этом направлении. Тему SDL мы будем культивировать в ИТ-кампусе Нижегородской области.

Валерий Богдашов, R-Vision:

На сегодняшний день рынок кадров в сфере информационной безопасности, к сожалению, достаточно узкий, и сразу найти специалиста под необходимые нужды компании бывает проблематично. Поэтому многих разработчиков мы сами выращиваем в компании, изначально закладывая ресурсы под их обучение. Главное, чтобы кандидат "горел" сферой кибербезопасности, ставил себе цели и достигал их, а также стремился к постоянному развитию.

Владимир Высоцкий, Solar appScreener:

Требуемый уровень образования зависит от должности. В большинстве случаев это высшее, но по некоторым позициям рассматриваем среднее профессиональное/специальное или незаконченное высшее. Мы используем все возможные каналы: сайты для поиска работы, внутреннюю базу, рекомендации сотрудников, отраслевые форумы и конференции.

Ежемесячно наша компания нанимает 60–70 ИБ-специалистов. Приоритетными для нас являются разработчики (С++, Java, Scala), инженеры-проектировщики, пентестеры, аналитики и архитекторы SOC.

Алексей Смирнов, CodeScoring:

Крайне желательно, чтобы уровень образования был высшим, и лучше всего – профильным. Ведущие вузы, например Бауманка, МИРЭА и УРФУ, понимают потребность и активно поддерживают SDL-направление. Мы, в свою очередь, поддерживаем такие учебные заведения образовательными лицензиями для улучшения качества подготовки. Если говорить про людей с опытом, то нельзя недооценивать силу SDLи других ИТ-сообществ, в которых у участников все чаще загораются глаза на докладах по безопасной разработке.

Дмитрий Евдокимов, Luntry:

Мы специализируемся на безопасности контейнеров и Kubernetes. Изза того, что эта область знаний появилась не так давно и в университетах подобного еще не преподают, нам приходится готовить кадры самим. Главное, чтобы у человека была хорошая база, голова на плечах и желание исследовать, разбираться, пробовать и не сдаваться в процессе изучения нового материала.

Иван Панченко, Постгрес Профессиональный:

Есть работа для специалистов разного уровня. Конечно, лидером должен быть только профессионал высокого уровня. Интересные и полезные задачи являются основной мотивацией для таких людей, это помогает находить их на рынке.

Владимир Пономарев, Гарда Технологии:

В процессе участвуют и разработчики, и ребята из команды AppSec, так что требования очень разные. В основном специалисты растут внутри компании, но есть и те, кто пришел к нам с уже имеющимся профильным опытом.

Лука Сафонов, Синклит:

С кадрами, как и везде, большая проблема: их катастрофически не хватает. У нас есть сильная, сформированная годами команда, которая занимается обучением молодых перспективных сотрудников. Мы также активно набираем студентов технических вузов на стажировку, давая им возможность попробовать себя в разных направлениях и выбрать наиболее им близкое.

Марк Коренберг, Айдеко:

В нашем отделе ИБ отдаем предпочтение людям, у которых есть высшее образование или законченные профессиональные курсы в этой сфере. Ищем на hh или в тематических группах. А так все зависит от результатов технического собеседования: порой среди самоучек находятся "золотые" разработчики.

Роман Карпов, Axiom JDK:

Мы растим кадры сами. У нас очень высокие требования, так как продукт очень сложный. Специалисты приходят преимущественно по рекомендации и повышают свою квалификацию благодаря работе в нашей инженерной команде. Junior по SDL/DevSecOps должен обладать следующим набором знаний на базовом уровне: С/C++, работа с Linux, информационная безопасность, а также опционально – базовые знания языка/стека технологий для конкретного изделия/проекта, на котором нужно внедрять SDL. Специалист уровня Security Champion должен иметь хорошее понимание C/C++, работы сетевых протоколов, механизмов работы Linux и C runtime, понимание принципов ИБ и их прикладного значения, обладать опытом работы с инструментами тестирования (статические анализаторы, фаззеры, отладчики) и инструментами анализа (статические анализаторы, средства реверс-инжиниринга – дизассемблеры, декомпиляторы, сетевые сканеры, средства пентеста).

Сергей Деев, МТС RED:

Спрос на специалистов, способных внедрять и применять практики безопасной разработки, в последнее время многократно вырос. Крупные компании готовы платить серьезные зарплаты, при этом все равно не всегда достигают целей по найму.

В этой ситуации важно растить экспертизу у себя, доверяя возможность развития экспертам из числа специалистов по DevOps, разработчиков и экспертов ИБ, специализирующихся на сетевой безопасности, менеджменте процессов ИБ, мониторинге инцидентов. Для роста важно обучаться на практике и опираться на опыт профессионального сообщества, благо у нас много доступной литературы и обучающих материалов. Появляются новые программы повышения квалификации, связанные с вопросами безопасной разработки.

Сергей Сергеев, КСБ-СОФТ:

Для поиска новых специалистов мы развиваем взаимодействие с научными институтами. Значимым результатом для нас стало заключение соглашения о сотрудничестве между командой НПЦ КСБ, ЧГУ им. И.Н. Ульянова и ИСП РАН.

Благодаря совместной работе уже в начале текущего года в ЧГУ была открыта лаборатория системного программирования и безопасной разработки программного обеспечения. Теперь на ее базе с применением передовых технологий будут обучаться молодые перспективные кадры.

Сергей Трандин, Базальт СПО:

Во-первых, мы ищем среди разработчиков свободного программного обеспечения. Образование – не определяющий критерий, в нашей команде есть самородки без высшего образования. Во-вторых, мы работаем со студентами вузов, отбираем амбициозных, с "горящими глазами". В-третьих, мы развиваем экспертизу внутри компании, обеспечиваем профессиональный рост наших сотрудников, в том числе за счет активного участия в международных проектах Open Source. Тестирование – зона особой ответственности, ошибки недопустимы, поскольку очень высоки риски для участников рынка. Поэтому критерии отбора – квалификация, обучаемость, природный талант и мотивированность.

Сергей Груздев, Аладдин Р.Д.:

Наличие высшего образования подтверждает высокие способности к обучению и увеличивает вероятность успешного вхождения в профессию. Скажу банальную фразу: здесь, как и везде, нужно постоянно учиться. Мы ищем среди студентов на рынке, организуем стажировки. Мы очень ценим инициативность и проактивность, стремление к самообучению. При подборе обращаем внимание на уровень знания языков и владение инструментами, на то, как актуальный набор знаний и навыков можно использовать при решении актуальных задач команды.

Александр Дубинин, YADRO:

Уровень образования очень разный, от студентов до специалистов и экспертов. Мы работаем со многими вузами, у нас есть свои базовые кафедры. Стратегически лучший способ найти подходящие кадры – вырастить их, используя образовательную базу вуза, стажировки и внутренние обучающие программы.

Карина Нападовская, Лаборатория Касперского:

Есть разные пути.

  1. И имеющиеся кадры зачастую хотят что-то поменять в жизни, переквалифицироваться и учиться чемуто новому, модному, молодежному. Можно смело их запускать в новый процесс. В нашей отрасли сейчас есть большое количество курсов, вебинаров, конференций, и программы обучения появляются, так что все шансы.
  2. Конечно, студенты. Свежая кровь, неиспорченные мозги: очень много достойной молодежи, с которой достаточно поработать какое-то время и можно добиться отличного результата.
  3. Ну и никто не отменял хантинг готовых специалистов. Многие факторы, включая бюджет, цели и сроки поставленных задач, влияют на подход к подбору персонала.

Оксана Новослугина, СПб ИАЦ:

В настоящее время мы больше смотрим не на профиль образования, а на инициативность, желание учиться новому и трудоспособность. В большом потоке информации важно, чтобы сотрудник мог быть многозадачным, стрессоустойчивым, и главное, чтобы ему было интересно. На нашем предприятии развита система наставничества и профессиональной переподготовки, это очень важное направление в наше время.

Екатерина Вайц, МГТУ им. Н.Э. Баумана:

С учетом того факта, что мы являемся кузницей кадров, готовим будущих SDL-щиков, то проблема поиска перспективных и горящих энтузиазмом джунов для нас не стоит.

Однако в связи с постоянным ростом числа студентов все более актуальной задачей становится необходимость постоянного расширения сильного костяка преподавателей по широкому спектру направлений и стеку технологий, которые могли бы выполнять роль научных руководителей и наставников для студентов.

Полная версия круглого стола в журнале "Информационная безопасность": https://cs.groteck.com/IB_3_2023/40/ 

Темы:Безопасная разработкаDevSecOpsЖурнал "Информационная безопасность" №3, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...