Что изучать специалисту по информационной безопасности?

Наверное и варианты действий с "той стороны"? :)

1. Основные понятия информационной безопасности. Примеры

• Понятие информационных систем и их безопасности.
  
• Критерии оценки рисков безопасности
  
• Корпоративные политики безопасности
  
• Исторические примеры. Червь Морриса.
  
• Юридические аспекты
  

2. Предварительная подготовка. Как они это делают?

• Предварительная подготовка. Сбор информации
  
• Разведка
  
• Внедрение
  
• Закрепление в системе
  

3. Публичная и приватная информация. Сбор информации

• Публичность информации
  
• Разграничение прав доступа
  
• Пароли, пароли, пароли
  
• Шифрование
  
• Безопасная передача информации
  

4. Проводные и беспроводные сети. Возможности современных инструментов

• Возможности внедрения
  
• Аутентификация на уровне устройств
  
• Анализ локальной сети при подготовке к атаке или защите
  
• Сетевые атаки. DoS, DDoS
  

5. IT-Безопасность операционных систем

• Вирусы и трояны
  
• Сетевые черви.
  
• Аутентификация и обход ограничений
  
• Технические методы взлома паролей. Брут-форс, перебор по словарю, радужные таблицы.
  
• Распределение прав
  
• Фаерволы
  

6.​ Социальный инжениринг

• Понятие социального инжениринга. Методы воздействия.
  
• Психология и сценарии поведения.
  
• Списки контактов и социальные сети.
  

7. Уязвимости и их эксплуатация

• Понятие уязвимости и эксплоита
  
• Возможности эксплуатации уязвимостей
  

8. Криптография

• Использование алгоритмов криптографии
  
• Сильные и слабые стороны алгоритмов криптографии
  
• Соль и перец.
  
• Ассиметричное шифрование
  

9. Ботнеты

• Примеры использования ботнетов
  
• Принципы работы
  

10.​ Обратный инжиниринг (реверс-инжиниринг)

• Цели реверс-инжиниринга
  
• Инструменты, используемые при обратном инжиниринге
  

11.​ Инструментарий специалиста

• Программы для смартфонов
  
• Программы для Linux
  
• Программы для Windows
  
• Аппаратные средства. USB Rubber Ducky, WiFi Pinapple
  
• Специализированные операционные системы. Kali Linux
  

12. Проблемы безопасности, связанные с использованием веб-ресурсов

• Неправильная настройка сервера
  
• Использование рекламных сетей
  
• Нарушения безопасности при хранении резервных копий веб-ресурсов
  
• Фишинг
  
• Cross-site scripting (XSS)
  
• Внедрение SQL (SQL injection)
  

13. Сценарии действия для проникновения в сеть

• Проникновение через зараженный сайт
  
• Проникновение через зараженную программу
  
• Проникновение через "потерянный носитель"
  
• Проникновение через уязвимости сервисов
  
• Проникновение с получением физического доступа
  
• Проникновение через социальный инжениринг
  
• Проникновение через подставного сотрудника
  
• Проникновение через кражу оборудования
  
• Прикрытие при проникновении
  
• Сокрытие следов после взлома
  

14.​ Действия после проникновения

• Повышение привелегий
  
• Выделение полезного трафика
  
• Подбор и перехват паролей
  
• Маскировка программ и трафика
  
• Пропуск трафика для других мероприятий
  

15. Анализ по итогам атаки или проникновения

• Анализ жестких дисков
  
• Анализ трафика сети
  
• Анализ прав доступа
  
• Анализ логов
  
• Привлечение правоохранительных органов
  

16.​ Защита и профилактика

• Системы диагностики вторжения (IDS)
  
• Фаервол
  
• Песочница
  
• Централизованное логгирование
  
• Баланс безопасности и удобства
  
• Тренинги для персонала
  
• Создание политик корпоративной безопасности и их внедрение
  
• Создание отдела информационной безопасности
  

я ни разу не специалист по информационной безопасности, но имхо можно делать упор на одно из трёх:
1. Системное администрирование с уклоном в безопасность. От этого я вообще далёк, так что ничего не могу сказать.
2. Поиск уязвимостей в ПО. Учить C/C++ для понимания, какие дыры можно оставить при написании ПО, а дальше язык ассемблера для реверс инжиниринга программ. Ну и там, не знаю, поищите в интернете исходники вирусов, поразбирайтесь.
3. Поиск уязвимостей в веб-сервисах. Учить какой-нибудь серверный язык (PHP, Python, Ruby и проч.) + JavaScript + SQL + на базовом уровне HTML. Гуглить XSS, SQL injection, DDoS. Если интересен этот вариант, могу пару ссылок подбросить по основам.

Попробуйте на третьем и последующем курсе разбираться с профильными предметами и задавать преподавателям вопросы по непонятным аспектам.

Преподаватели не особо стараются нас учить.

Учат - в школе, а в институте - учатся!

- Знать все популярные языки (и большинство непопулярных тоже)
- Знать все виды БД (обычные Mysql/MSSQL/Postgres + всякие документо-ориентированные)
- Знать устройство протоколов, как и почему они работают
- Знать *nix/win, как работают и что где лежит
- Знать популярные уязвимости, и как их находить
- Знать популярный софт для взлома, и уметь его использовать
- Уметь мыслить нестандартно. Уметь потерять шарик в закрытой комнате.

Вот небольшой список умений типичного киддиса начала нулевых. "Специалист" по ИБ должен знать\уметь все это плюс еще кучу способов как от этого защититься.

Вы как начинающий специалист уже должны знать, что в тренде, а что нет.

Гугл полон чудес

Поищите книгу "Инфраструктуры открытых ключей" (О.Ю. Полянская, М. ИНТУИТ, 2007 г.)
Или пройдите одноимённый бесплатный курс www.intuit.ru/studies/courses/110/110/info

Ищем изветного вайтхата (лучше несколько)
Бросаемся к нему в ноги
Лобызаем
Слезно молим взять себя в ученики

или идем в андеграунд и самостоятельно и мучительно изучаем все что попадется подруку

Тебе уже встречались профильные предметы, на следующем курсе их будет больше. Если среди них попадаются те что тебе интересны, то делай упор на них, ищи в интернете более детальную информацию. В рамках того что читают в универе, дадут только названия и направление куда стоит смотреть. Этих направлений очень много, а информационная безопастность очень широкое понятие. Надо выбрать все же узкую специализацию в которой интересно рости.

По поводу литературы, то можно поговорить с преподавателем который читает интересующий предмет, уверен что у него есть, да и подсказать сможет.

Для себя выделил два направления: криптология и построение комплексных систем защиты информации(КСЗИ). Хотя в будущем не планирую с этим связать свою жизнь :)
P.S. закончил 3-тий курс "Безопасность информационно-коммуникационных систем"

добавлю, что не лишним будет изучить нормативку, 152ой,СТО БР ИББС, ISO и др. Знаю "специалистов" которые только на этом и выезжают. И было бы неплохо выбрать желаемое направление (никто не знает где конкретно придется работать, но все же) и идти по нему, всего не выучишь.

Учитесь дальше по программе. Изучите дополнительно сами сетевые технологии, операционные системы, поисковое оборудование.
На практике (для студента компания интегратор неплохое решение) изучайте системы обеспечения безопасности: NAC, DLP, SIEM, различные СЗИ.
Из литературы можно начать с Вито Амато - Основы ОРГАНИЗАЦИИ СЕТЕЙ Cisco.

совет Даниил Колесниченко - наиболее дельный. я бы только объединил последних 2 пункта в 1 (по сути - оба об упоре на безопасность разработки ПО и аудит уязвимостей) и добавил новый третий - менеджмент ИБ. Оно не так интересно, как "ловить хакеров" - по поверьте, построить грамотный процесс обеспечения ИБ и написать под это все нужные документы зачастую куда как сложнее, чем настроить IPS/найти XSS.
в результате - получается 3 направления:
техническая защит, безопасность разработки и аудит уязвимостей, менеджмент ИБ.
Выбирайте, дальше развивайтесь в одном из направлений.

Linux (старая школа как никак)