terroy
Опытный user
- Регистрация
- 11 Май 2022
- Сообщения
- 211
- Реакции
- 14
Приветствую всех!
Дисклеймер: тут возникла небольшая потребность восполнить пробелы по профориентации посетителей форума, решил помочь в силу своих возможностей, статья не является истиной в последней инстанции, так что попрошу дополнить тему людей с опытом работы в сфере защиты информации/штатных пентестеров и т.д. Статья может показаться получится скучноватой из-за ФЗ и ГОСТов, но тут ничего не поделать.
Тема информационной безопасности (далее - ИБ) достаточно популярна сегодня в медийном пространстве. Многие изучают данную область знаний в качестве любителей, что прекрасно. В Сети регулярно появляются вопросы «Как и с чего начать свой путь в ИБ?» и т.д. Иногда задают более умные вопросы: «А какое направление выбрать»? Собственно, ответ на последний вопрос каждый должен дать сам себе, ознакомившись с основными направлениями ИБ/IT.
Так же люди, занимающиеся ИБ в качестве хобби спрашивают, как им «вкатиться» в практическую ИБ, перестать быть «киддисами» и т.д. И на предыдущий вопрос им обычно отвечают тролли от IT/ИБ, генерируя список знаний, который не каждый супермен осилит. Некоторые всерьез советуют какие-то сферические списки в вакууме (плод больного воображения). В общем диагноз не утешительный.
Так вот все эти «списки» полнейшая чушь от людей с завышенным ЧСВ или неадекватно воспринимающих реальность (что в общем то одно и тоже). Спорить с ними я не намерен, и попрошу их не отравлять своими навязчивыми идеями данную тему.
Итак, Вы хотите разобраться в сфере ИБ. Это самое обычная профессия/хобби. Вот тут надо определиться сразу что Вам нужно, если речь идет о занятиях для себя, тот тут конечно можно заниматься чем и, как угодно, изучать все подряд и т.д. Когда же мы говорим не просто о желании зарабатывать, но и о получении квалификации и компетентности в данной области, то без сомнения нужен системный подход.
Просто взять и изучить ИБ с 0 нельзя. Нужна определенная база знаний в IT. Что именно зависит от выбранной специализации, так что тут тоже нужно самостоятельно подумать головой. Единственные два навыка, которые нужны почти всегда – это умение читать техническую литературу на английском и навыки продвинутого пользователя ПК (можно начать с этого).
Согласно ГОСТ Р 53114-2008 безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. Вот этим и придется заниматься на предприятии. И говорить сегодня именно с точки зрения штатного ИБшника (инжинера или техника) в одной из компаний, а не про сотрудника профильных организаций, занимающихся безопасностью.
Повторюсь, будет уделено внимание НПА, так как без знания законодательства Вас просто, кхм… повесить могут много всего в общем))
1) правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов…
2) техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством…
3) криптографическая защита информации: защита информации с помощью ее криптографического преобразования…
4) физическая защита информации: защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения…
При выборе направления можно плясать от этих 4 терминов, но на практике в коммерческих компаниях, которые не могут позволить себе большой штат, как минимум 3 из них приходится совмещать (документы, СЗИ, крипта), охрана физического периметра отдельная епархия, обычно на аутсорсе.
Тут мы плавно подошли к другой интересной теме – это, конечно же ориентация на коммерческий сектор, государственные структуры или военные. На выбор может повлиять наличие ограничений по части туризма в некоторых структурах. Так же разные условия труда оплата, льготы и т.д.
Но тут не все так просто, если посмотреть на рынок труда, то мы увидим, что требуются:
1) Самая часто встречающаяся формулировка, это «Главный специалист/эксперт по ИБ», вот основные должностные обязанности:
Участие в проектной деятельности и в проведении анализа существующей инфраструктуры, разработка предложений по модернизации.
Контроль функционирования антивирусной системы. Реагирование на инциденты.
Аудит выполнения требования политик, регламентов информационной безопасности, подготовка отчетов. Технический аудит.
Аудит соответствия предоставленных доступов к информационным активам (в соответствии с заявками).
Проведение расследований инцидентов по информационной безопасности.
Контроль функционирования средств защиты информации
Участие в технических и организационных мероприятиях по защите коммерческой тайны
2) Теперь взглянем на обязанности специалиста по ИБ в области сертификации ПО:
Участие в консультациях заказчиков и формировании коммерческих предложений (Совместно с отделом продаж).
Оценка объектов испытаний перед проведением сертификации.
Помощь заказчикам в оформлении программной документации по ГОСТ ЕСПД/ЕСКД.
Разворачивание стендов испытаний.
Проведение испытаний.
Оформление отчетных материалов.
Взаимодействие с заказчиками и со ФСТЭК России.
Периодическая отчетность руководителю проектов.
3)Требования к простому специалисту по ИБ:
организация процессов по защите персональных данных в компании, в том числе построение моделей угроз;
принятие мер по организации режима коммерческой тайны;
организация хранения данных;
разработка нормативно-распорядительных документов в области защиты коммерческой тайны и персональных данных и поддержание их в актуальном состоянии;
разработка нормативно-распорядительных документов в области взаимодействие с регуляторами по вопросам организации защиты персональных данных (ФСТЭК, Роскомнадор);
инструктаж работников по информационной безопасности при приеме на работу;
консультирование и обучение сотрудников по информационной безопасности.
Эти требования взяты из вакансий коммерческих организаций/гос. контор.
На основании анализа этих требований можно выбрать себе направление деятельности. Если проанализировать названия вакансий и должностей, то можно увидеть, что редки вакансии специалиста по инженерно-технической ЗИ, борьбе с иностранными разведками, работу в этой области обеспечивают соотв. военные организации.
Резюмируя можно сказать, что в гражданском сегменте рынка труда присутствуют такие требования:
Знание НПА и разработка НРД
Организация мер по защите коммерческой тайны и персональных данных
Умение работать с со средствами ЗИ, в т.ч. криптографическими
Умение проводить обследования и аудит ИБ по различным нормативным требованиями и стандартам
Работа с персоналом предприятия
Выявление и расследование инцидентов ИБ
Вот эти требования предъявляют работодатели к сотрудникам на предприятии, а не умение писать стиллеры на C#, ломать соседский WiFi изощренными способами, открывать наручники и разные замки и т.д. Все это интересно, но все же надо ориентироваться на реальность, так как человек, умеющий все вышеперечисленное может оказаться не обученным работать с СЗИ от НСД, защищать периметр сети и т.д.
Некоторое документы, которые нужно составить на предприятии:
При выборе различных направлений по ИБ/учебного заведения надо понимать, что в большинстве случаев Вас ждет вакансия обычного специалиста по ИБ в лучшем случае, так как сейчас я не наблюдаю спроса на молодых специалистов в этой области, нужно на всякий случай иметь еще профили – программирование, администрирование сетей и т.д.
По поводу детального описания КБ от ИБ, ИБ ТС от ИБ АС и прочего много информации в гугле,
Дисклеймер: тут возникла небольшая потребность восполнить пробелы по профориентации посетителей форума, решил помочь в силу своих возможностей, статья не является истиной в последней инстанции, так что попрошу дополнить тему людей с опытом работы в сфере защиты информации/штатных пентестеров и т.д. Статья может показаться получится скучноватой из-за ФЗ и ГОСТов, но тут ничего не поделать.
Тема информационной безопасности (далее - ИБ) достаточно популярна сегодня в медийном пространстве. Многие изучают данную область знаний в качестве любителей, что прекрасно. В Сети регулярно появляются вопросы «Как и с чего начать свой путь в ИБ?» и т.д. Иногда задают более умные вопросы: «А какое направление выбрать»? Собственно, ответ на последний вопрос каждый должен дать сам себе, ознакомившись с основными направлениями ИБ/IT.
Так же люди, занимающиеся ИБ в качестве хобби спрашивают, как им «вкатиться» в практическую ИБ, перестать быть «киддисами» и т.д. И на предыдущий вопрос им обычно отвечают тролли от IT/ИБ, генерируя список знаний, который не каждый супермен осилит. Некоторые всерьез советуют какие-то сферические списки в вакууме (плод больного воображения). В общем диагноз не утешительный.
Так вот все эти «списки» полнейшая чушь от людей с завышенным ЧСВ или неадекватно воспринимающих реальность (что в общем то одно и тоже). Спорить с ними я не намерен, и попрошу их не отравлять своими навязчивыми идеями данную тему.
Итак, Вы хотите разобраться в сфере ИБ. Это самое обычная профессия/хобби. Вот тут надо определиться сразу что Вам нужно, если речь идет о занятиях для себя, тот тут конечно можно заниматься чем и, как угодно, изучать все подряд и т.д. Когда же мы говорим не просто о желании зарабатывать, но и о получении квалификации и компетентности в данной области, то без сомнения нужен системный подход.
Просто взять и изучить ИБ с 0 нельзя. Нужна определенная база знаний в IT. Что именно зависит от выбранной специализации, так что тут тоже нужно самостоятельно подумать головой. Единственные два навыка, которые нужны почти всегда – это умение читать техническую литературу на английском и навыки продвинутого пользователя ПК (можно начать с этого).
Согласно ГОСТ Р 53114-2008 безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. Вот этим и придется заниматься на предприятии. И говорить сегодня именно с точки зрения штатного ИБшника (инжинера или техника) в одной из компаний, а не про сотрудника профильных организаций, занимающихся безопасностью.
Повторюсь, будет уделено внимание НПА, так как без знания законодательства Вас просто, кхм… повесить могут много всего в общем))
1) правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов…
2) техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством…
3) криптографическая защита информации: защита информации с помощью ее криптографического преобразования…
4) физическая защита информации: защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения…
При выборе направления можно плясать от этих 4 терминов, но на практике в коммерческих компаниях, которые не могут позволить себе большой штат, как минимум 3 из них приходится совмещать (документы, СЗИ, крипта), охрана физического периметра отдельная епархия, обычно на аутсорсе.
Тут мы плавно подошли к другой интересной теме – это, конечно же ориентация на коммерческий сектор, государственные структуры или военные. На выбор может повлиять наличие ограничений по части туризма в некоторых структурах. Так же разные условия труда оплата, льготы и т.д.
- правовое обеспечение ИБ;
- работа администратором/техником СЗИ;
- работа в области инженерно-технической ЗИ на объектах;
- противодействие техническим разведкам:
- информационная безопасность телекоммуникационных систем
- информационная безопасность автоматизированных систем
- информационно-аналитические системы безопасности
- компьютерная безопасность;
Но тут не все так просто, если посмотреть на рынок труда, то мы увидим, что требуются:
1) Самая часто встречающаяся формулировка, это «Главный специалист/эксперт по ИБ», вот основные должностные обязанности:
Участие в проектной деятельности и в проведении анализа существующей инфраструктуры, разработка предложений по модернизации.
Контроль функционирования антивирусной системы. Реагирование на инциденты.
Аудит выполнения требования политик, регламентов информационной безопасности, подготовка отчетов. Технический аудит.
Аудит соответствия предоставленных доступов к информационным активам (в соответствии с заявками).
Проведение расследований инцидентов по информационной безопасности.
Контроль функционирования средств защиты информации
Участие в технических и организационных мероприятиях по защите коммерческой тайны
2) Теперь взглянем на обязанности специалиста по ИБ в области сертификации ПО:
Участие в консультациях заказчиков и формировании коммерческих предложений (Совместно с отделом продаж).
Оценка объектов испытаний перед проведением сертификации.
Помощь заказчикам в оформлении программной документации по ГОСТ ЕСПД/ЕСКД.
Разворачивание стендов испытаний.
Проведение испытаний.
Оформление отчетных материалов.
Взаимодействие с заказчиками и со ФСТЭК России.
Периодическая отчетность руководителю проектов.
3)Требования к простому специалисту по ИБ:
организация процессов по защите персональных данных в компании, в том числе построение моделей угроз;
принятие мер по организации режима коммерческой тайны;
организация хранения данных;
разработка нормативно-распорядительных документов в области защиты коммерческой тайны и персональных данных и поддержание их в актуальном состоянии;
разработка нормативно-распорядительных документов в области взаимодействие с регуляторами по вопросам организации защиты персональных данных (ФСТЭК, Роскомнадор);
инструктаж работников по информационной безопасности при приеме на работу;
консультирование и обучение сотрудников по информационной безопасности.
Эти требования взяты из вакансий коммерческих организаций/гос. контор.
На основании анализа этих требований можно выбрать себе направление деятельности. Если проанализировать названия вакансий и должностей, то можно увидеть, что редки вакансии специалиста по инженерно-технической ЗИ, борьбе с иностранными разведками, работу в этой области обеспечивают соотв. военные организации.
Резюмируя можно сказать, что в гражданском сегменте рынка труда присутствуют такие требования:
Знание НПА и разработка НРД
Организация мер по защите коммерческой тайны и персональных данных
Умение работать с со средствами ЗИ, в т.ч. криптографическими
Умение проводить обследования и аудит ИБ по различным нормативным требованиями и стандартам
Работа с персоналом предприятия
Выявление и расследование инцидентов ИБ
Вот эти требования предъявляют работодатели к сотрудникам на предприятии, а не умение писать стиллеры на C#, ломать соседский WiFi изощренными способами, открывать наручники и разные замки и т.д. Все это интересно, но все же надо ориентироваться на реальность, так как человек, умеющий все вышеперечисленное может оказаться не обученным работать с СЗИ от НСД, защищать периметр сети и т.д.
Некоторое документы, которые нужно составить на предприятии:
- свою должностную инструкцию (при отсутствии)
- перечень ИС и инф. огран. дост
- перечень лиц, допущ. к обраб. инф
- приказ об назнач. ответств. за ЗИ
- правила обращ. с машинн. носит. инф
- инструкция по антивир. защ
- инструкция по организ. парольн. защ
- приказ об обеспечен. мер по ЗИ
- и т.д.
При выборе различных направлений по ИБ/учебного заведения надо понимать, что в большинстве случаев Вас ждет вакансия обычного специалиста по ИБ в лучшем случае, так как сейчас я не наблюдаю спроса на молодых специалистов в этой области, нужно на всякий случай иметь еще профили – программирование, администрирование сетей и т.д.
По поводу детального описания КБ от ИБ, ИБ ТС от ИБ АС и прочего много информации в гугле,
