Если в городе нет ни одной компании-системного интегратора ИТ (Пилот+1С не в счет), ИТ-специалистам приходится либо работать на себя, либо, если им «повезло» по профилю, в непрофильной организации.
Что касается информационной безопасности, то здесь правило «безопасность определяется степенью угрозы» применяется на 100% или даже 101%, но иногда нивелируется законодательством РФ, для чего где-то в структуре появляется лишняя единица в отделе кадров или безопасности.
Сразу оговорюсь, что данная заметка основана исключительно на собственных наблюдениях в городе моего проживания, никакой HR-аналитики (их просто нет).
Стоит отметить, что если в вышеперечисленные отделы нанимают специалиста по информационной безопасности, то в 70% случаев он занимается наведением скучной документации в порядке.
В результате в действительности работа заключается в написании различного рода инструкций, положений, положений, которые на самом деле редко соблюдаются, либо в целях получения различного вида лицензий для успешного прохождения проверок контролирующих органов, что требует наличия специалиста по информационной безопасности в штате.
Что делает специалист по информационной безопасности, когда он не является «лишним» подразделением?! Я не претендую на истину в последней инстанции, но всё же.
Законодательство Российской Федерации
За последние 5 лет в этом направлении сделан определенный шаг вперед. Ее знание сейчас необходимо для грамотного выполнения своих функций (не быть по совместительству юристом, а знать, куда копать с технической стороны), но в основном это, конечно, касается госорганов: ФЗ №152 и другие.нравится, обязательно прочтите, РД ФСТЭК и портал РКН, законы о КТ и инсайдерской информации встречаются реже, но тоже встречаются.
С повсеместным внедрением портала госуслуг и межведомственного взаимодействия органов власти - «электронного правительства» становится актуальным изучение законов об ЭП (ЭЦП) и единой платежной системе РФ.
Стандарты
ГОСТы, СТО ИБСС: тсс.о них никто не слышал.
И тот, кто их слышал, сказал, почему? ISO27000x, PCI DSS – ммм… до лучших времен.
Уровень операционных систем
95% основного парка машин работает под управлением Windows XP, некоторые сейчас переходят на Windows 7. Аналогичная ситуация и с серверами.Поверхностных знаний Windows Server 2003 будет достаточно.
Почему поверхностный? Потому что все серверы: AD, Exchange, ISA, TMG, SCCM находятся в ведении ИТ-отдела, и никто не даст к ним доступ офицеру безопасности, думаю, нет необходимости говорить почему.
ИБ-специалист не имеет никакого отношения к политикам безопасности, прокси-серверам или межсетевым экранам, но при внешнем аудите ИБ-специалистам почему-то приходится применять эти знания.
Уровень телекоммуникаций
Ну а тут история вообще темная.Я согласен, что устройствами L2, L3 обслуживают специалисты по ИТ или связи.
Но я не могу понять, почему ASA, PIX, Check Point, Juniper, CSP VPN Gate относятся к работникам ИБ как «кошки и собаки».
Я не понимаю, как сотрудники ИБ будут строить безопасный периметр сети, VPN, DMZ и т. д. Этим занимаются специалисты, обслуживающие свитчи и маршрутизаторы.
Здесь также действует правило «безопасность определяется степенью угрозы».
Может быть, ОИБ будет отвечать за что-то вроде «Континента», а если повезет, и «ФПСУ-ИП», но для их правильной настройки не нужны глубокие знания модели OSI, стека протоколов и правил адресации.
.
Да, даже специалистам по безопасности иногда остается антивирус и централизованное управление им — например, AdminKit.
Программное обеспечение
Ввиду обширности прикладных информационных технологий здесь есть где разгуляться.Практически везде используется какой-либо криптопровайдер: КриптоПро, Бикрипт, ВипНет и т.д. Также часто используется аппаратно-программный МДЗ: соболь, аккорд, секрет-нет, гвардия, блокхост, zlock, dallaslock, devicelock, блокировка «что-то еще» и т. д. Если ИБ является оператором центра управления, то необходимо знать ИПК.
В обязанности также может входить банковское программное обеспечение: ива, клиент-банк.
Для всего этого нужно уметь обращаться с ключевыми носителями информации: токенами, смарт-картами, планшетами ТМ и программным обеспечением, которое на них пишет. А самое приятное, что если на ЭВМ что-то не работает, то по мнению ИТ, всегда виновата система информационной безопасности.
В результате специалисту по безопасности также необходимо обладать навыками службы поддержки, уметь пользоваться удаленным помощником и рабочим столом.
База данных
Все просто, их безопасностью никто не занимается, и офицеру безопасности достаточно знать механизмы безопасности SQL Server, Oracle, mySQL для собственных разработок.
Другой
Проблемы с резервированием аналогичны: RAID, SAN, NAS не предназначены для информационной безопасности.Сертификаты поставщиков (если в городе есть удостоверяющий центр, иначе все равно придется ездить) никому не нужны, для отдела кадров они ничего не значат, а для руководителя являются как бы раздражителем.
Исключительно для себя и для светлого будущего.
Еще одна важная роль чекиста – грамотно, с технической точки зрения, изложить свою позицию, зафиксированную на бумажном носителе: «больше бумаг пишите, больше бумаг – меньше проблем».
В результате, даже если человек захочет получить новые навыки и профессионально развиваться, его ждет разочарование в виде описанной мной выше диспозиции, поскольку руководство ИС воспринимает это как ненужный придаток и пустую трату денег, хотя и может потерять гораздо более.
Общий
Мой курс закончили 35 человек, из них 4 работают по специальности, и этот пост написан по их впечатлениям.Если у кого-то есть другой опыт, пишите свои комментарии, будет очень интересно.
Теги: #работа #профессиональные требования #информационная безопасность
-
Звездные Войны
19 Oct, 24 -
Симулятор Чтения Статей
19 Oct, 24 -
Как Не Обмануться При Изучении Физики
19 Oct, 24 -
Запуск Ракеты Стига
19 Oct, 24
