Комментарии 34
назовите нормативные акты по ИБ и кратко опишите их назначение;
что такое риск ИБ и как им управлять?
какие методологии управления ИБ вам известны?
и вот это
Как видим вопросы достаточно базовые и достаточно редко они будут на знание именно нормативки регуляторов либо лучших практик, скорее таких вообще не бывает.
Противоречие? Наизусть знать нормативные акты?
Нет, смысл в том, что вас вряд ли спросят как реализовать конкретный пункт нормативки или как бы вы трактовали такой-то пункт. Просто общие вопросы на знание хотя бы названий документов и их суть в пару слов.
Грубо говоря если по технике спросят как реализовать конкретную уязвимость и как защититься - надо знать как эксплуатируется уязвимость, без этого и меры защиты то не предложишь, то в части нормативки спрашивают какие законы знаешь и о чем они. Вопрос как реализовать закон не спрашивают.
Интересно, а можно быть спецом в ИБ и класть с пробором на "нормативные акты" и прочие физиологические акты? Нормативные акты - это compliance, к ИБ относится постольку-поскольку. А задача ИБ - чтобы не взломали и не упёрли.
К сожалению нельзя, есть нормы и их нужно выполнять, так или иначе. А про соотношение с реальной безопасностью - вопрос неоднозначный и у каждого тут свое мнение.
Почему ИБ должен выполнять какие-то нормы? У него ровно такая же мотивация их выполнять, как у (условного) программиста. Прийдёт compliance с требованием что-то делать или не делать - будем. Не придёт - будем делать то, что наиболее эффективно.
Требовать от ИБ соблюдения compliance как основы профессии, всё равно, что требовать от программиста, чтобы он печать с принтера у бухгалтера на компьютере починил. Ты же программист!
Ну, во-первых, за невыполнение можно получить «по голове» от надзирающих органов. Даже если условные разработчики сидя в России зарегистрированы на Кипре, это не значит что им не надо выполнять местный (или Европейский) комплайнс. На свою вину не знаю ситуацию на Кипре, но у Европы и Америки свои есть нормы и правила, за которые наказывают не менее строго. Другой вопрос про их соотношение с реальной безопасностью, но на эту тему уйма материалов и мнений в сети. Во-вторых, закрывать требования регулятора когда он уже стучится в дверь чревато. В нашей стране, в зависимости от целей и настроения проверяющего органа, можно получить по полной, даже если клятвенно обещаешь доделать все в самые короткие сроки. В-третьих, ИБ как раз про предотвращение потерь, а не реагирование в последний момент. В зависимости от типа компании, вполне разумнее прикрыть «тылы» от требований регуляторов заранее. В-четвёртых, есть организации, которым по закону необходимо выполнять требования и тут уже зависит от руководства, им «шашечки или ехать», т.е. выполнять требования все равно придётся, но будет ли при этом обеспечиваться реальная безопасность - не всегда зависит от безопасника «на местах». В-пятых, даже в наших РД есть best practices которые не выполняются теми, кто обязан, потому что в их понимании все РД бесполезны полностью и они лучше знают. В-шестых, и последних, иногда, все наши приказы ФСТЭК и прочие РД единственный способ у безопасника выбить деньги из бюджета на новую СЗИ.
Если коротко, то это на значит что без всего содержания РД нельзя безопасника считать безопасником, но ориентироваться в них уметь это такой же навык как владения сканерами сети, умение настраивать специфичные NGFW или владение скриптовыми языками - добавляет ценность.
А ещё можно присесть, если мухлевать с налогами, не подавать бухгалтерскую отчётность и не обновлять лицензию на деятельность (кому нужно). А ещё можно конкретно попасть с МЧЗ за отсутствие пожарных выходов и радиоточки у охраны. Это не трогая вопросы столовой и санинспекции. И? Какое это отношение к ИБ имеет?
Прийдёт compliance с требованием что-то делать или не делать — будем.
Если, к примеру, у вас интернет-магазин с приёмом кредиток (особенно если клиенты вводят номера прямо на вашем сайте) — то compliance уже у вас (PCI DSS), придётся выполнять все нормы и регулярно тестироваться на соответствие.
А так да — если требований и проверяющих нет, если закон/клиенты/партнёры не требуют наличия чего-то — то никакие нормы выполнять не надо, главное чтобы не влезли.
С другой стороны, сами нормы (которые либо содержат, либо легко приводятся в форму чек-листа и сценариев реализации) очень сильно помогают любому безопаснику (по крайней мере если он не машина) — людям свойственно ошибаться и забывать, даже самым крутым, по списку же легче и реализовывать и проверять — если, конечно, список сам по себе грамотный (увы, не все нормы адекватные).
Можно, в нормальной конторе делается безопасно технически, например, ключ и пинкод кладут в Vault, но далее шлют к юристам и бизнесу, чтобы тот принял риски неисполнения базовых законов и потенциальных санкций со стороны регуляторов
На самом деле да, некоторые работодатели честно заявляют об отсутствии в необходимости защиты персданных клиентов по законодательству, требуется только управление рисками ИБ.
Кем вы себя видите через пять лет? Почему выбрали именно нашу компанию?
Антивирус - это программа для бесполезной траты процессорного времени, последнее время, специализирующаяся на майнинге криптовалют.
... особенно, когда отправляет на карантин свежеобранный бинарник. Без права вынуть его оттуда. Есть у меня знакомый в тухлой конторе с корпоративным антивирусом. Грубый эстимейт потерь компании от его наличия на машинах сотрудников - 20-30% ФОПа.
Но ведь не везде так. Есть предприятия, на которых очень остро стоит вопрос защиты от вирусов, которые приходят из электронной почты или из интернета, а программист слишком занят, чтобы настроить для сотрудников индивидуальные логины.
А могут ли такие компании предложить существенную зарплату и чувство самореализации для хорошего специалиста? Я подозреваю, что такая компания и в вакансию для отдела безопасности напишет ту же самую сумму, как и "программисту на заводе".
Вот, например: https://hh.ru/vacancy/47760360
ЗАО ТК ОПТГАЛАНТ
Специалист по информационной безопасности
МОСКВА
45000 рублей до вычета налогов.
А рядом другая вакансия:
Продавец-кассир в кафе на АЗК
от 45 000 до 60 000 руб. до вычета налогов
Вы имеете в виду, что IRL всё ещё хуже?
Средняя зарплата в ИТ 130.000₽
Это средняя температура по больнице. Даже скорее температура в амбулаторной, а ИБ это интенсивная терапия.
В ИТ в среднем зарплата выше чем в ИБ. А в ИБ зарплата пентестера в среднем выше чем АИБа, если вы конечно найдете вакансию чистого АИБа.
Хорошая для продавца-кассира или для специалиста по информационной безопасности?
Не во всем согласен с автором, но вопросы такие встречал. Чаще всего, на начальной позиции.
Потом научился в ответ спрашивать "вам шашечки или ехать" и собеседования начали проходить более продуктивно)
А вообще это скорее перечень вопросов-клише и "плохих советов", т.к.:
Типов специальностей в ИБ уйма, так что любой из вопросов по отдельности для каждой конкретной позиции должен идти с контекстом, из-за чего когда их много на собесе это явно говорит что интервьюер не понимает что будет конкретно делать работник.
Рассказать про серьезные вещи с прошлой работы не получится, так как даже если нет NDA и совести, то это не значит что то каким СЗИ и как ты защищал на прошлом месте пользовательские эндпоинты можно разглашать. На мой взгляд на такие вопросы будут давать информацию об опыте 5-ти летней давности, что как бы уже мало релевантно, а учитывая что СЗИ мог покупаться только ради закрытия комплаенса, то это вряд ли поможет в определении навыков.
Опять же про СЗИ с которыми работал на предыдущем месте - это вполне может быть запрещено к разглашению или человек не скажет просто ради того, чтобы перестраховаться.
Если мы говорим о "специалистах ИБ - универсалах своего дела", то тут не вопросов про бизнес-процессы, а ведь универсал должен, в том числе понимать и учитывать потребности бизнеса.
Спрашивать про антивирус в 2021 - некорректно, чистых антивирусов почти не осталось. Если уж и упоминать, то в ключе "антивирусного движка" и в каких еще классах СЗИ они встречаются и как используются, кроме эндпоинтов.
Ну и отдельно насмешивший лично меня вопрос:
минимальная длина пароля для учетных записей в AD и почему?
Вполне себе представляю ИБ-специалиста, который на это спросит "а что такое AD? Что-то на виндах? Извините, я с ними не очень" и будет вполне себе востребован. Основной бизнес уже давно не на виндах, и фокус давно тоже не.
Supply chain attacks куда страшнее, чем "notpetya" требующий биткоин в обмен на фоточки с компьютера бухгалтера.
Насмешил вопрос. На самом деле тут кроется секрет в понимании атак на NTLM. Выводом из атак определяется минимальная длина пароля в Windows инфраструктуре при наличии активной аутентификации по NTLM.
... при её наличии. Все сотрудники на маках, но спец по ИБ следит за длинной пароля в AD.
Рассмешил не в смысле, что вопрос плохой.
Я просто вспомнил случай из практики, когда пользователь сумел обойти минимальную длину и когда пришел срок менять, система не принимала "старый пароль", считая что такого быть не может =)
часто работодатель хочет нанять просто специалиста чтобы понять его значимость
Опытные ИБ специалисты будут обходить стороной компании с таким сценарием. Зачем компании отдельное обеспечивающее направление, пусть и из одного сотрудника, если они сами не понимают её необходимость? Специалисту ИБ с маленьким опытом и уж тем более начинающему туда идти совершенно противопоказано - в конечном итоге из-за недостатка опыта превратишься еще в одни "руки" для ИТ отдела и развиваться в направлении ИБ не будешь.
ИБ даже не в крупных компаниях уже ушла дальше установки антивирусов и заклеивания USB портов. Это и взаимодействие с кадрами в части защиты ПДн, и с юристами в части Compliance, согласование договоров, проверка контрагентов, безопасная разработка и мого чего ещё. По вопросам же на собеседовании для данного сценария складывается впечатление, что компания определяет бюджет по ИБ. Такие вопросы нужно задавать, наняв консалтинг и уже на основе отчета набирать команду по ИБ.
Вопросы на собеседовании безопасника