7 марта, воскресенье 10:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Дорогу молодым или как стать профи в сфере ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Дорогу молодым или как стать профи в сфере ИБ

    Здравствуйте.

    В 2012 году я выпустился с университета с дипломом "Спеца по ЗИ". Молодой еще совсем, опыта работы мало, а в голове почти одна теория. В универах по-другому и не учат... В связи с этим вопрос и тема для обсуждения: Не могли ли бы профи, те, кто давно и успешно работает в сфере ИБ поделиться секретами мастерства, успеха? Полезны будут советы для молодых... С чего начать, что почитать, куда сходить. Думаю, интересны будут рассказы о начале Вашей карьеры. В общем все, что поможет начинающим стать хорошими специалистами в области ИБ.

    Заранее извиняюсь, если подобная тема уже была на форуме.

  • #2
    здравствуйте, МОЛОДОЙ специалист.... ответ на Ваш вопрос один - практика и еще раз практика.... только есть еще один момент ... как сказал один классик "Теория без практики мертва, а практика без теории глупа!"
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      Неплохая презентация на тему как стать специалистом была у Алексея Лукацкого на Уральском форуме, вот пост в его блоге http://lukatsky.blogspot.ru/2013/02/blog-post_18.html
      Вот интересная автобиография Алексея Волкова http://anvolkov.blogspot.ru/p/blog-page.html

      А по теме ответили выше. Практика наше всё.

      Комментарий


      • #4
        Смотрите вакансии, изучайте требования к соискателям. От этого можно и отталкиваться. Слишком общий вопрос.
        Пишем, пишем, пишем, пишем документы.

        Комментарий


        • #5
          Сообщение от Sat_Kelman Посмотреть сообщение
          Неплохая презентация на тему как стать специалистом была у Алексея Лукацкого на Уральском форуме, вот пост в его блоге http://lukatsky.blogspot.ru/2013/02/blog-post_18.html
          Там было как стать ИЗВЕСТНЫМ специалистом.

          Комментарий


          • #6
            Учите английский и сдавайте на CISP. Читайте Шнайера "Прикладная криптография" и вообще зарубежных классиков.
            Есть интересная книга Росса Андерсона http://www.cl.cam.ac.uk/~rja14/book.html.

            Комментарий


            • #7
              Я в свое время делал презентацию на подобную тему для студентов в рамках проекта "Обратная связь"

              http://secinsight.blogspot.ru/2011/02/blog-post_26.html

              материал уже несколько устарел, но возможно что-то полезное подчерпнете.

              К тому что уже сказали коллеги рекомендую подключиться к "информационному полю": подписывайтесь на блоги (российские и иностранные), читайте статьи, форумы, подключайтесь к дискуссионным группам LinkedIn, Facebook и пр.

              А то некоторых студентов собеседуешь и на вопрос - "какие профессиональные ресурсы читаете ? ", в лучшем случае отвечают - "секлаб", а в худшем вообще молчат.

              Комментарий


              • #8
                Сообщение от АС Посмотреть сообщение
                Учите английский и сдавайте на CISP. [/url].
                Может быть Вы обьясните, а зачем нужен этот пресловутый CISP? В России он ИМХО не применим, подходы к безопасности у нас и на западе противоположны, регуляторы данный экзамен не знают, да и вообще смысл учить то, что применить на практике невозможно?
                [OFF]Красим белим, иногда защищаем[/OFF]

                Комментарий


                • #9
                  Сообщение от akitukitua Посмотреть сообщение
                  Может быть Вы обьясните, а зачем нужен этот пресловутый CISP? В России он ИМХО не применим, подходы к безопасности у нас и на западе противоположны, регуляторы данный экзамен не знают, да и вообще смысл учить то, что применить на практике невозможно?
                  Попробую объяснить. Во-первых, для того чтобы понять западную методологию ИБ, без этого Вы не станете специалистом. Во-вторых, на практике это может пригодится, например, при внедрении PCI DSS, кстати, этот стандарт может быть включен в комплекс СТО БР.

                  Комментарий


                  • #10
                    Сообщение от АС Посмотреть сообщение
                    Попробую объяснить. Во-первых, для того чтобы понять западную методологию ИБ, без этого Вы не станете специалистом. Во-вторых, на практике это может пригодится, например, при внедрении PCI DSS, кстати, этот стандарт может быть включен в комплекс СТО БР.
                    Понять западную методологию с помощью CISP нельзя, можно отчасти понять вдумчиво прочитав 15408 и 17799 и поняв, что нет западной методологии", есть подходы различных стран, и зачастую в наших условиях они просто не применимы, стандарт открытых ключей прекрасно понимается и без CISPа, да дальнейшая судьба СТО более чем туманна, тем более небанками едиными жив безопасник. Тем не менее вопрос открыт, зачем в РФ нужен CISP
                    [OFF]Красим белим, иногда защищаем[/OFF]

                    Комментарий


                    • #11
                      Сообщение от akitukitua Посмотреть сообщение
                      Понять западную методологию с помощью CISP нельзя, можно отчасти понять вдумчиво прочитав 15408 и 17799 и поняв, что нет западной методологии", есть подходы различных стран, и зачастую в наших условиях они просто не применимы, стандарт открытых ключей прекрасно понимается и без CISPа, да дальнейшая судьба СТО более чем туманна, тем более небанками едиными жив безопасник. Тем не менее вопрос открыт, зачем в РФ нужен CISP
                      Само по себе чтение, даже вдумчивое, мало что дает. CISP хорош тем что сдается экзамен, а это заставляет немного напрячь мозги. А PCI DSS внедряется не только в банках. И потом, что Вы имеете ввиду когда говорите что подходы к безопасности у нас и на западе противоположны? В чем противоположны?

                      Комментарий


                      • #12
                        Сообщение от АС Посмотреть сообщение
                        Само по себе чтение, даже вдумчивое, мало что дает. CISP хорош тем что сдается экзамен, а это заставляет немного напрячь мозги. А PCI DSS внедряется не только в банках. И потом, что Вы имеете ввиду когда говорите что подходы к безопасности у нас и на западе противоположны? В чем противоположны?
                        В том то и дело, сдаётся экзамен, по нормам и требованиям НЕ действующим в РФ, сразу вопрос, зачем мне знать то , что на территории РФ не пригодится, а на западе как безопасник, я со своим образованием никому не нужен, да и не выпустит никто. То что напрягаются мозги, это конечно хорошо, но не лучше ли за это время получить пару тройку сертификатов вендоров и разработчиков защитного ПО в РФ? Про PKI DSS, естесственно банки не основные потребители ключей и сертификатов ЭП, но для понимания архитектуры открытых ключей мне не нужно каких либо сторонних знаний достаточно 63 ФЗ и конкретной реализации (Верба, Доменк, Крипто ПРО).
                        А подходы в ИБ как раз и отличаются тем, что в РФ никто не заморачивается (официально) реальной защищённостью, все выполняют нормы регуляторов, зачастую бредовые и с реальной жизнью никак не согласовывающихся, на западе, ты вообще можешь не заморачиваться выплнением требований (да и регуляторов в нашем понимании там нет), но если произошел инцедент, буть добр ответь по закону (оплати потери.)
                        [OFF]Красим белим, иногда защищаем[/OFF]

                        Комментарий


                        • #13
                          akitukitua, речь шла о PCI DSS, а не PKI.
                          По поводу разных подходов к безопасности: те, кто у нас заинтересован в реальной защищенности, те собственно и заморачиваются (ясное дело, что в этом не заинтересованы все юр лица, на которых повесили выполнение требований по перс. данным например). И что мешает этим заинтересованным пользоваться западными стандартами, методиками и подходами? В чем их неприменимость то в наших условиях?

                          Комментарий


                          • #14
                            Сообщение от akitukitua Посмотреть сообщение
                            А подходы в ИБ как раз и отличаются тем, что в РФ никто не заморачивается (официально) реальной защищённостью, все выполняют нормы регуляторов, зачастую бредовые и с реальной жизнью никак не согласовывающихся
                            От норм регуляторов особо никуда не денешься, но реальной безопасностью заморачиваются и в РФ. Какое-нибудь ООО "Пупкин и Ко" может и нет, но для банков, даже маленьких, реальная безопасность нужна. А уже для средних размеров компании или банка необходимо выстраивать систему, и систему работающую, а не нацеленную исключительно на ублажение регуляторов.

                            Комментарий


                            • #15
                              Сообщение от akitukitua Посмотреть сообщение
                              В том то и дело, сдаётся экзамен, по нормам и требованиям НЕ действующим в РФ, сразу вопрос, зачем мне знать то , что на территории РФ не пригодится, а на западе как безопасник, я со своим образованием никому не нужен, да и не выпустит никто. То что напрягаются мозги, это конечно хорошо, но не лучше ли за это время получить пару тройку сертификатов вендоров и разработчиков защитного ПО в РФ? Про PKI DSS, естесственно банки не основные потребители ключей и сертификатов ЭП, но для понимания архитектуры открытых ключей мне не нужно каких либо сторонних знаний достаточно 63 ФЗ и конкретной реализации (Верба, Доменк, Крипто ПРО).
                              А подходы в ИБ как раз и отличаются тем, что в РФ никто не заморачивается (официально) реальной защищённостью, все выполняют нормы регуляторов, зачастую бредовые и с реальной жизнью никак не согласовывающихся, на западе, ты вообще можешь не заморачиваться выплнением требований (да и регуляторов в нашем понимании там нет), но если произошел инцедент, буть добр ответь по закону (оплати потери.)

                              Здесь я с Вами категорически не согласен, последние лет пять очень даже заморочились с реальной безопасностью, хакеры заставили. По количеству инцидентов мы далеко впереди планеты всей и дальше будет еще хуже, а все потому что действительно не заморачивались реальной безопасностью, писали бумажки для регуляторов.

                              Комментарий


                              • #16
                                Для мужчины специалиста по ИБ ник ДемиМур это заявка на победу!
                                Здравствуй тролль!

                                Комментарий


                                • #17
                                  Сообщение от АС Посмотреть сообщение
                                  Здесь я с Вами категорически не согласен, последние лет пять очень даже заморочились с реальной безопасностью, хакеры заставили. По количеству инцидентов мы далеко впереди планеты всей и дальше будет еще хуже, а все потому что действительно не заморачивались реальной безопасностью, писали бумажки для регуляторов.
                                  Большое заблуждение насчет "впереди планеты всей". Очень большое.

                                  Комментарий


                                  • #18
                                    А CISSP в России действительно нафиг не нужен ;-)

                                    Комментарий


                                    • #19
                                      Сообщение от Ололош Посмотреть сообщение
                                      akitukitua, речь шла о PCI DSS, а не PKI.
                                      По поводу разных подходов к безопасности: те, кто у нас заинтересован в реальной защищенности, те собственно и заморачиваются (ясное дело, что в этом не заинтересованы все юр лица, на которых повесили выполнение требований по перс. данным например). И что мешает этим заинтересованным пользоваться западными стандартами, методиками и подходами? В чем их неприменимость то в наших условиях?
                                      ДА пардон, тк не банкир, прочитал по своему Выполнение норм и требований по персданным, в РФ это вообще смешно, опять же главное в этих требованиях написать как можно больше бумаг и извернувшись в модели безопасности скинуть с себя как можно больше требований регулятора. А действительно заинтересованные в безопасности берут старые ещё СССровские требования по обеспечению гос. тайны и выполняют, для наших палестин это то что доктор прописал.
                                      [OFF]Красим белим, иногда защищаем[/OFF]

                                      Комментарий


                                      • #20
                                        Сообщение от Tor Посмотреть сообщение
                                        От норм регуляторов особо никуда не денешься, но реальной безопасностью заморачиваются и в РФ. Какое-нибудь ООО "Пупкин и Ко" может и нет, но для банков, даже маленьких, реальная безопасность нужна. А уже для средних размеров компании или банка необходимо выстраивать систему, и систему работающую, а не нацеленную исключительно на ублажение регуляторов.
                                        У маленькой или средней компании силёнок не хватит реальную безопасность обеспечить, с системами антипрослушки, пресечения тех каналов, обеспечения физ. защиты, охраны периметра, проверкой сотрудников и это только вершина айсберга, я уж не говорю о конкурентной разведке и аналитического отдела для прогнозирования ситуации.
                                        [OFF]Красим белим, иногда защищаем[/OFF]

                                        Комментарий


                                        • #21
                                          Сообщение от АС Посмотреть сообщение
                                          Здесь я с Вами категорически не согласен, последние лет пять очень даже заморочились с реальной безопасностью, хакеры заставили. По количеству инцидентов мы далеко впереди планеты всей и дальше будет еще хуже, а все потому что действительно не заморачивались реальной безопасностью, писали бумажки для регуляторов.
                                          Да бог с Вами какие хакеры и кого заставили, если говорить о банковской системе у нас до сих пор даже крупные банки реально безопасностью не занимаются, максимум отставной МВД\ФСБ дядечка опер (в лучшем случае, в худшем штабист)- начальник службы безопасности, пару мальчиков типа ИБ (главное перекрыть интернет и раздать ключи для ДБО) ну и написание бумажек для СТО (мы же вступили) и бешенных отчётов для ЦБ, всё. И где здесь безопасность, хотябы ИБ?
                                          [OFF]Красим белим, иногда защищаем[/OFF]

                                          Комментарий


                                          • #22
                                            Сообщение от Joystick Посмотреть сообщение
                                            Для мужчины специалиста по ИБ ник ДемиМур это заявка на победу!
                                            Здравствуй тролль!
                                            Это Вы мне?
                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                            Комментарий


                                            • #23
                                              Сообщение от АС Посмотреть сообщение
                                              сдавайте на CISP.
                                              А стаж он из пальца высосет? )

                                              Комментарий


                                              • #24
                                                Сообщение от akitukitua Посмотреть сообщение
                                                на западе, ты вообще можешь не заморачиваться выплнением требований (да и регуляторов в нашем понимании там нет)
                                                Пруф дайте. Иначе это выглядит как фантазия.

                                                Комментарий


                                                • #25
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  А CISSP в России действительно нафиг не нужен ;-)
                                                  Доооооо... )))

                                                  Комментарий


                                                  • #26
                                                    Сообщение от akitukitua Посмотреть сообщение
                                                    Это Вы мне?
                                                    Это автору топика.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от akitukitua Посмотреть сообщение
                                                      Это Вы мне?
                                                      шо Вы шо Вы!
                                                      я топикстартеру. Типа пришел сумничал и в кусты.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от akitukitua Посмотреть сообщение
                                                        У маленькой или средней компании силёнок не хватит реальную безопасность обеспечить, с системами антипрослушки, пресечения тех каналов, обеспечения физ. защиты, охраны периметра, проверкой сотрудников и это только вершина айсберга, я уж не говорю о конкурентной разведке и аналитического отдела для прогнозирования ситуации.
                                                        А кто говорит, что для маленькой компании нужны системы антипрослушки, защиты тех. каналов и т.п.? Насколько действительно это повлияет на защиту интересов этой маленькой компании? И что, без антипрослушки защита становится нереальной? В западных стандартах изначально используется риск-ориентированный подход. И навскидку, с учётом такого подхода, почти у любой маленькой компании нет такой информации, которую необходимо было бы защищать такими же дорогими средствами, как гос.тайну. Собственно именно поэтому хотя бы знать в общих чертах западные документы полезно. Вопрос о полезности экзаменов типа CISP, CISSP и т .д. каждый решает для себя сам. При приёме на работу сотрудника, имеющего подобный сертификат, я буду знать, что человек как минимум сможет прочитать инструкцию на английском и имеет представление о базовых понятиях в безопасности.
                                                        А СССРовские требования по защите гос.тайны были хороши именно для того, для чего и разрабатывались - для защиты гос.тайны, т.е. когда вероятным нарушителем было другое государство с соответствующим финансированием и защищались активы с соответствующей стоимостью. Возможно, их частично можно применять в очень крупных корпорациях, каких-нибудь газпромах с лукойлами, для остальных - это не будет работать.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от akitukitua Посмотреть сообщение
                                                          Да бог с Вами какие хакеры и кого заставили, если говорить о банковской системе у нас до сих пор даже крупные банки реально безопасностью не занимаются, максимум отставной МВД\ФСБ дядечка опер (в лучшем случае, в худшем штабист)- начальник службы безопасности, пару мальчиков типа ИБ (главное перекрыть интернет и раздать ключи для ДБО) ну и написание бумажек для СТО (мы же вступили) и бешенных отчётов для ЦБ, всё. И где здесь безопасность, хотябы ИБ?
                                                          А может не будем говорить за все банки?

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Zuz Посмотреть сообщение
                                                            Пруф дайте. Иначе это выглядит как фантазия.
                                                            пардон ссылками не кидаюсь, можете считать фантазией
                                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                                            Комментарий

                                                            Обработка...
                                                            X