Как стать автором
Обновить

Комментарии 33

назовите нормативные акты по ИБ и кратко опишите их назначение;

что такое риск ИБ и как им управлять?

какие методологии управления ИБ вам известны?

и вот это

Как видим вопросы достаточно базовые и достаточно редко они будут на знание именно нормативки регуляторов либо лучших практик, скорее таких вообще не бывает.

Противоречие? Наизусть знать нормативные акты?

Нет, смысл в том, что вас вряд ли спросят как реализовать конкретный пункт нормативки или как бы вы трактовали такой-то пункт. Просто общие вопросы на знание хотя бы названий документов и их суть в пару слов.

Грубо говоря если по технике спросят как реализовать конкретную уязвимость и как защититься - надо знать как эксплуатируется уязвимость, без этого и меры защиты то не предложишь, то в части нормативки спрашивают какие законы знаешь и о чем они. Вопрос как реализовать закон не спрашивают.

Интересно, а можно быть спецом в ИБ и класть с пробором на "нормативные акты" и прочие физиологические акты? Нормативные акты - это compliance, к ИБ относится постольку-поскольку. А задача ИБ - чтобы не взломали и не упёрли.

К сожалению нельзя, есть нормы и их нужно выполнять, так или иначе. А про соотношение с реальной безопасностью - вопрос неоднозначный и у каждого тут свое мнение.

Почему ИБ должен выполнять какие-то нормы? У него ровно такая же мотивация их выполнять, как у (условного) программиста. Прийдёт compliance с требованием что-то делать или не делать - будем. Не придёт - будем делать то, что наиболее эффективно.

Требовать от ИБ соблюдения compliance как основы профессии, всё равно, что требовать от программиста, чтобы он печать с принтера у бухгалтера на компьютере починил. Ты же программист!

Ну, во-первых, за невыполнение можно получить «по голове» от надзирающих органов. Даже если условные разработчики сидя в России зарегистрированы на Кипре, это не значит что им не надо выполнять местный (или Европейский) комплайнс. На свою вину не знаю ситуацию на Кипре, но у Европы и Америки свои есть нормы и правила, за которые наказывают не менее строго. Другой вопрос про их соотношение с реальной безопасностью, но на эту тему уйма материалов и мнений в сети. Во-вторых, закрывать требования регулятора когда он уже стучится в дверь чревато. В нашей стране, в зависимости от целей и настроения проверяющего органа, можно получить по полной, даже если клятвенно обещаешь доделать все в самые короткие сроки. В-третьих, ИБ как раз про предотвращение потерь, а не реагирование в последний момент. В зависимости от типа компании, вполне разумнее прикрыть «тылы» от требований регуляторов заранее. В-четвёртых, есть организации, которым по закону необходимо выполнять требования и тут уже зависит от руководства, им «шашечки или ехать», т.е. выполнять требования все равно придётся, но будет ли при этом обеспечиваться реальная безопасность - не всегда зависит от безопасника «на местах». В-пятых, даже в наших РД есть best practices которые не выполняются теми, кто обязан, потому что в их понимании все РД бесполезны полностью и они лучше знают. В-шестых, и последних, иногда, все наши приказы ФСТЭК и прочие РД единственный способ у безопасника выбить деньги из бюджета на новую СЗИ.

Если коротко, то это на значит что без всего содержания РД нельзя безопасника считать безопасником, но ориентироваться в них уметь это такой же навык как владения сканерами сети, умение настраивать специфичные NGFW или владение скриптовыми языками - добавляет ценность.

А ещё можно присесть, если мухлевать с налогами, не подавать бухгалтерскую отчётность и не обновлять лицензию на деятельность (кому нужно). А ещё можно конкретно попасть с МЧЗ за отсутствие пожарных выходов и радиоточки у охраны. Это не трогая вопросы столовой и санинспекции. И? Какое это отношение к ИБ имеет?

Прийдёт compliance с требованием что-то делать или не делать — будем.

Если, к примеру, у вас интернет-магазин с приёмом кредиток (особенно если клиенты вводят номера прямо на вашем сайте) — то compliance уже у вас (PCI DSS), придётся выполнять все нормы и регулярно тестироваться на соответствие.


А так да — если требований и проверяющих нет, если закон/клиенты/партнёры не требуют наличия чего-то — то никакие нормы выполнять не надо, главное чтобы не влезли.


С другой стороны, сами нормы (которые либо содержат, либо легко приводятся в форму чек-листа и сценариев реализации) очень сильно помогают любому безопаснику (по крайней мере если он не машина) — людям свойственно ошибаться и забывать, даже самым крутым, по списку же легче и реализовывать и проверять — если, конечно, список сам по себе грамотный (увы, не все нормы адекватные).

На самом деле да, некоторые работодатели честно заявляют об отсутствии в необходимости защиты персданных клиентов по законодательству, требуется только управление рисками ИБ.

Кем вы себя видите через пять лет? Почему выбрали именно нашу компанию?

Почему на дороге люки круглые, а у меня перед бассейном на вилле - квадратные?

Как измерить диаметр пищевода у голубого кита с помощью датакласса на питоне?

Квадратные небезопасны!

Властелином вселенной. Кушать хочу.

Антивирус - это программа для бесполезной траты процессорного времени, последнее время, специализирующаяся на майнинге криптовалют.

Вместе с тем антивирус очень серьёзно экономит время программиста, тем самым давая возможность, чтобы программист починил печать на компьютере у бухгалтера.

... особенно, когда отправляет на карантин свежеобранный бинарник. Без права вынуть его оттуда. Есть у меня знакомый в тухлой конторе с корпоративным антивирусом. Грубый эстимейт потерь компании от его наличия на машинах сотрудников - 20-30% ФОПа.

В ваших примерах, в ваших наблюдениях вы правы. Всё так и есть.

Но ведь не везде так. Есть предприятия, на которых очень остро стоит вопрос защиты от вирусов, которые приходят из электронной почты или из интернета, а программист слишком занят, чтобы настроить для сотрудников индивидуальные логины.

А могут ли такие компании предложить существенную зарплату и чувство самореализации для хорошего специалиста? Я подозреваю, что такая компания и в вакансию для отдела безопасности напишет ту же самую сумму, как и "программисту на заводе".

Вот, например: https://hh.ru/vacancy/47760360

ЗАО ТК ОПТГАЛАНТ
Специалист по информационной безопасности
МОСКВА
45000 рублей до вычета налогов.

А рядом другая вакансия:

Продавец-кассир в кафе на АЗК
от 45 000 до 60 000 руб. до вычета налогов

В объявлениях довольно хорошая зарплата указана.

Вы имеете в виду, что IRL всё ещё хуже?

Да. Потому что в неё входят зарплаты в крупных городах, зарплаты в областных центрах и зарплаты удалённых сотрудников.

Ну не знаю, мне для нормальной жизни и в областном городе такой зарплаты мало, а тут зарплата Москвы указана. Я если бы в Москву переезжал, то мне бы ее не то что на аренду квартиры не хватило, на садик и парковочное место тем более.

Это средняя температура по больнице. Даже скорее температура в амбулаторной, а ИБ это интенсивная терапия.

В ИТ в среднем зарплата выше чем в ИБ. А в ИБ зарплата пентестера в среднем выше чем АИБа, если вы конечно найдете вакансию чистого АИБа.

Хорошая для продавца-кассира или для специалиста по информационной безопасности?

Не во всем согласен с автором, но вопросы такие встречал. Чаще всего, на начальной позиции.
Потом научился в ответ спрашивать "вам шашечки или ехать" и собеседования начали проходить более продуктивно)

А вообще это скорее перечень вопросов-клише и "плохих советов", т.к.:

  1. Типов специальностей в ИБ уйма, так что любой из вопросов по отдельности для каждой конкретной позиции должен идти с контекстом, из-за чего когда их много на собесе это явно говорит что интервьюер не понимает что будет конкретно делать работник.

  2. Рассказать про серьезные вещи с прошлой работы не получится, так как даже если нет NDA и совести, то это не значит что то каким СЗИ и как ты защищал на прошлом месте пользовательские эндпоинты можно разглашать. На мой взгляд на такие вопросы будут давать информацию об опыте 5-ти летней давности, что как бы уже мало релевантно, а учитывая что СЗИ мог покупаться только ради закрытия комплаенса, то это вряд ли поможет в определении навыков.

  3. Опять же про СЗИ с которыми работал на предыдущем месте - это вполне может быть запрещено к разглашению или человек не скажет просто ради того, чтобы перестраховаться.

  4. Если мы говорим о "специалистах ИБ - универсалах своего дела", то тут не вопросов про бизнес-процессы, а ведь универсал должен, в том числе понимать и учитывать потребности бизнеса.

  5. Спрашивать про антивирус в 2021 - некорректно, чистых антивирусов почти не осталось. Если уж и упоминать, то в ключе "антивирусного движка" и в каких еще классах СЗИ они встречаются и как используются, кроме эндпоинтов.

Ну и отдельно насмешивший лично меня вопрос:

минимальная длина пароля для учетных записей в AD и почему?

Вполне себе представляю ИБ-специалиста, который на это спросит "а что такое AD? Что-то на виндах? Извините, я с ними не очень" и будет вполне себе востребован. Основной бизнес уже давно не на виндах, и фокус давно тоже не.

Supply chain attacks куда страшнее, чем "notpetya" требующий биткоин в обмен на фоточки с компьютера бухгалтера.

Насмешил вопрос. На самом деле тут кроется секрет в понимании атак на NTLM. Выводом из атак определяется минимальная длина пароля в Windows инфраструктуре при наличии активной аутентификации по NTLM.

... при её наличии. Все сотрудники на маках, но спец по ИБ следит за длинной пароля в AD.

Не у всех компаний все работники на маках вы же понимаете, скорее это исключение. А как из простых векторов атаки актуален.

По моему личному, субъективному наблюдению, среди пользовательских компьютеров ~80-90% это Windows, той или иной степени актуальности. Правда, тенденция на "отечественную ОС" потихоньку начинает менять баланс сил.

Рассмешил не в смысле, что вопрос плохой.

Я просто вспомнил случай из практики, когда пользователь сумел обойти минимальную длину и когда пришел срок менять, система не принимала "старый пароль", считая что такого быть не может =)

часто работодатель хочет нанять просто специалиста чтобы понять его значимость

Опытные ИБ специалисты будут обходить стороной компании с таким сценарием. Зачем компании отдельное обеспечивающее направление, пусть и из одного сотрудника, если они сами не понимают её необходимость? Специалисту ИБ с маленьким опытом и уж тем более начинающему туда идти совершенно противопоказано - в конечном итоге из-за недостатка опыта превратишься еще в одни "руки" для ИТ отдела и развиваться в направлении ИБ не будешь.

ИБ даже не в крупных компаниях уже ушла дальше установки антивирусов и заклеивания USB портов. Это и взаимодействие с кадрами в части защиты ПДн, и с юристами в части Compliance, согласование договоров, проверка контрагентов, безопасная разработка и мого чего ещё. По вопросам же на собеседовании для данного сценария складывается впечатление, что компания определяет бюджет по ИБ. Такие вопросы нужно задавать, наняв консалтинг и уже на основе отчета набирать команду по ИБ.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.