Если в городе нет ни одной компании – IT системного интегратора (Пилот + 1С не в счет), IT специалистам приходится либо работать на себя, либо если «повезет» по профилю в непрофильной организации. Что касается ИБ, то здесь правило «безопасность определяется степенью угрозы» действует на 100% или даже на 101%, но иногда нивелируется законодательством РФ, для чего в структуре появляется лишняя единица, где-нибудь в отделе кадров или охраны. Сразу оговорюсь, что данная заметка основана исключительно на собственных наблюдениях в городе моего проживания, никакой HR-аналитики (ее просто нет). Стоит отметить, что если и берут ИБшника в указанные выше отделы, то в 70% случаев для приведения скучной документации в порядок. В итоге на деле работа заключается в написании разного вида инструкций, положений, регламентов, которые по факту редко соблюдаются или для получения разного рода лицензий, для успешного прохождения проверок органами надзора, что требует наличие в штате специалиста по ИБ.
А что же делает спец по ИБ, когда он не является «лишней» единицей?! Я не претендую на истину в конечной инстанции, но все же…
В этом направлении за последние 5 лет сделан определенный шаг вперед. Его знание теперь необходимо, чтобы грамотно выполнять свои функции (не быть юристом на «полставки», а знать, куда копать с технической стороны), но в основном это, конечно, касается госструктур: ФЗ №152 и иже с ним, обязателен к прочтению, РД ФСТЭК и портал РКН, законы о КТ и инсайдерской информации реже, но также встречаются. С повсеместным вводом портала госуслуг и межведомственного взаимодействия органов власти – «Электронное Правительство», актуальным становится изучение законов об ЭП (ЭЦП) и единой платежной системы РФ.
ГОСТы, СТО ИБСС: тссс…никто не слышал о них. А кто и слышал, говорят зачем?
ISO27000x, PCI DSS – ммм…до лучших времен.
В 95% основной парк машин работает под управлением Windows XP, некоторые сейчас переходят на Windows 7. Аналогичная ситуация и с серверами. Поверхностных знаний Windows Server 2003 будет вполне достаточно. Почему поверхностных? Потому что все сервера: AD, Exchange, ISA, TMG, SCCM в ведении отдела ИТ, и доступа к ним ИБшнику никто не даст, думаю не надо говорить почему. К политикам безопасности, прокси, брандмауэру ИБшник никак не соотносится, но во время проведения внешнего аудита, почему-то ИБшникам приходится как раз эти знания и применять.
Ну, здесь вообще история темная. Я согласен что L2, L3 устройствами занимаются ИТ или связисты. Но не могу понять, почему ASA, PIX, Check Point, Juniper, CSP VPN Gate к сотрудникам ИБ соотносится как «кот и пес». Каким образом сотрудники ИБ будут строить защищенный периметр сети, VPN, DMZ и т.п., я не понимаю. Этим занимаются специалисты, обслуживающие коммутаторы и маршрутизаторы. Здесь как раз также работает правило «безопасность определяется степенью угрозы». Может быть, в ведении ОИБ будет что-то вроде «Континента», а если повезет «ФПСУ-IP», но для их грамотной настройки глубоких знаний модели OSI, стека протоколов и правил адресации не нужно. Да, еще на откуп ИБшникам иногда оставлен антивирус и централизованное им управление – типа AdminKit.
В связи с обширностью прикладных СЗИ, есть, где разгуляться…
Практически везде используется какой-нибудь крипто-провайдер: CryptoPro, Бикрипт, VipNet и т.п. Также часто применяется программно-аппаратный МДЗ: соболь, аккорд, secret-net, страж, блокхост, zlock, dallaslock, devicelock, «еще что-то»lock и т.п. Если ОИБ является оператором ПУЦ, то необходимо знать и PKI. В обязанности могут включить и банковское ПО: верба, клиент-банк. Для всего этого нужно уметь обращаться с носителями ключевой информации: токенами, смарт-картами, тм-таблетками и ПО, осуществляющим на них запись. И самое вкусное заключается в том, что если на ЭВМ что-то не работает, то по словам ИТ, всегда виновато СЗИ. В итоге ИБшнику нужно еще иметь навыки helpdesk, уметь пользоваться удаленным помощником и рабочим столом.
Все просто, их безопасностью никто не занимается, и знать механизмы безопасности SQL Server, Oracle, mySQL ИБшнику нужно только для собственного развития.
Вопросы резервирования аналогичны: RAID, SAN, NAS не для ИБ.
Сертификаты вендоров (если есть центр сертификации в городе, а то ведь ехать еще придется) – никому не нужны, для отдела кадров ничего не значат, для руководителя, как раздражитель. Исключительно для себя и на светлое будущее.
Еще одна немаловажная роль ИБшника – грамотно, с технической точки зрения, излагать свою позицию, зафиксированную на твердом носителе: «пиши больше бумаг, больше бумаг — меньше проблем».
В итоге даже если человек хочет получить новые навыки, профессионально развиваться, его ждет разочарование в виде описанной мной выше диспозиции, т.к. руководством ИБ воспринимается в виде ненужного придатка и траты денег, хотя потерять они могут куда больше.
С моего курса выпустилось 35 человек, из них по специальности работает 4, по их впечатлениям и написан данный пост. Если у кого-то по-другому, пишите свои комментарии, будет очень интересно.
А что же делает спец по ИБ, когда он не является «лишней» единицей?! Я не претендую на истину в конечной инстанции, но все же…
Законодательство РФ
В этом направлении за последние 5 лет сделан определенный шаг вперед. Его знание теперь необходимо, чтобы грамотно выполнять свои функции (не быть юристом на «полставки», а знать, куда копать с технической стороны), но в основном это, конечно, касается госструктур: ФЗ №152 и иже с ним, обязателен к прочтению, РД ФСТЭК и портал РКН, законы о КТ и инсайдерской информации реже, но также встречаются. С повсеместным вводом портала госуслуг и межведомственного взаимодействия органов власти – «Электронное Правительство», актуальным становится изучение законов об ЭП (ЭЦП) и единой платежной системы РФ.
Стандарты
ГОСТы, СТО ИБСС: тссс…никто не слышал о них. А кто и слышал, говорят зачем?
ISO27000x, PCI DSS – ммм…до лучших времен.
Уровень операционных систем
В 95% основной парк машин работает под управлением Windows XP, некоторые сейчас переходят на Windows 7. Аналогичная ситуация и с серверами. Поверхностных знаний Windows Server 2003 будет вполне достаточно. Почему поверхностных? Потому что все сервера: AD, Exchange, ISA, TMG, SCCM в ведении отдела ИТ, и доступа к ним ИБшнику никто не даст, думаю не надо говорить почему. К политикам безопасности, прокси, брандмауэру ИБшник никак не соотносится, но во время проведения внешнего аудита, почему-то ИБшникам приходится как раз эти знания и применять.
Уровень телекоммуникаций
Ну, здесь вообще история темная. Я согласен что L2, L3 устройствами занимаются ИТ или связисты. Но не могу понять, почему ASA, PIX, Check Point, Juniper, CSP VPN Gate к сотрудникам ИБ соотносится как «кот и пес». Каким образом сотрудники ИБ будут строить защищенный периметр сети, VPN, DMZ и т.п., я не понимаю. Этим занимаются специалисты, обслуживающие коммутаторы и маршрутизаторы. Здесь как раз также работает правило «безопасность определяется степенью угрозы». Может быть, в ведении ОИБ будет что-то вроде «Континента», а если повезет «ФПСУ-IP», но для их грамотной настройки глубоких знаний модели OSI, стека протоколов и правил адресации не нужно. Да, еще на откуп ИБшникам иногда оставлен антивирус и централизованное им управление – типа AdminKit.
Прикладное ПО
В связи с обширностью прикладных СЗИ, есть, где разгуляться…
Практически везде используется какой-нибудь крипто-провайдер: CryptoPro, Бикрипт, VipNet и т.п. Также часто применяется программно-аппаратный МДЗ: соболь, аккорд, secret-net, страж, блокхост, zlock, dallaslock, devicelock, «еще что-то»lock и т.п. Если ОИБ является оператором ПУЦ, то необходимо знать и PKI. В обязанности могут включить и банковское ПО: верба, клиент-банк. Для всего этого нужно уметь обращаться с носителями ключевой информации: токенами, смарт-картами, тм-таблетками и ПО, осуществляющим на них запись. И самое вкусное заключается в том, что если на ЭВМ что-то не работает, то по словам ИТ, всегда виновато СЗИ. В итоге ИБшнику нужно еще иметь навыки helpdesk, уметь пользоваться удаленным помощником и рабочим столом.
Базы данных
Все просто, их безопасностью никто не занимается, и знать механизмы безопасности SQL Server, Oracle, mySQL ИБшнику нужно только для собственного развития.
Другое
Вопросы резервирования аналогичны: RAID, SAN, NAS не для ИБ.
Сертификаты вендоров (если есть центр сертификации в городе, а то ведь ехать еще придется) – никому не нужны, для отдела кадров ничего не значат, для руководителя, как раздражитель. Исключительно для себя и на светлое будущее.
Еще одна немаловажная роль ИБшника – грамотно, с технической точки зрения, излагать свою позицию, зафиксированную на твердом носителе: «пиши больше бумаг, больше бумаг — меньше проблем».
В итоге даже если человек хочет получить новые навыки, профессионально развиваться, его ждет разочарование в виде описанной мной выше диспозиции, т.к. руководством ИБ воспринимается в виде ненужного придатка и траты денег, хотя потерять они могут куда больше.
Итого
С моего курса выпустилось 35 человек, из них по специальности работает 4, по их впечатлениям и написан данный пост. Если у кого-то по-другому, пишите свои комментарии, будет очень интересно.