• Paranoid - курс по анонимности и безопасности в сети от команды codeby. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Информационная безопасность и защита информации на предприятии

yarr

Grey Team
05.10.2017
123
229
#1
Приветствую всех!

Дисклеймер: тут возникла небольшая потребность восполнить пробелы по профориентации посетителей форума, решил помочь в силу своих возможностей, статья не является истиной в последней инстанции, так что попрошу дополнить тему людей с опытом работы в сфере защиты информации/штатных пентестеров и т.д. Статья может показаться получится скучноватой из-за ФЗ и ГОСТов, но тут ничего не поделать.

Тема информационной безопасности (далее - ИБ) достаточно популярна сегодня в медийном пространстве. Многие изучают данную область знаний в качестве любителей, что прекрасно. В Сети регулярно появляются вопросы «Как и с чего начать свой путь в ИБ?» и т.д. Иногда задают более умные вопросы: «А какое направление выбрать»? Собственно, ответ на последний вопрос каждый должен дать сам себе, ознакомившись с основными направлениями ИБ/IT.

Так же люди, занимающиеся ИБ в качестве хобби спрашивают, как им «вкатиться» в практическую ИБ, перестать быть «киддисами» и т.д. И на предыдущий вопрос им обычно отвечают тролли от IT/ИБ, генерируя список знаний, который не каждый супермен осилит. Некоторые всерьез советуют какие-то сферические списки в вакууме (плод больного воображения). В общем диагноз не утешительный.

Так вот все эти «списки» полнейшая чушь от людей с завышенным ЧСВ или неадекватно воспринимающих реальность (что в общем то одно и тоже). Спорить с ними я не намерен, и попрошу их не отравлять своими навязчивыми идеями данную тему.

Итак, Вы хотите разобраться в сфере ИБ. Это самое обычная профессия/хобби. Вот тут надо определиться сразу что Вам нужно, если речь идет о занятиях для себя, тот тут конечно можно заниматься чем и, как угодно, изучать все подряд и т.д. Когда же мы говорим не просто о желании зарабатывать, но и о получении квалификации и компетентности в данной области, то без сомнения нужен системный подход.

Просто взять и изучить ИБ с 0 нельзя. Нужна определенная база знаний в IT. Что именно зависит от выбранной специализации, так что тут тоже нужно самостоятельно подумать головой. Единственные два навыка, которые нужны почти всегда – это умение читать техническую литературу на английском и навыки продвинутого пользователя ПК (можно начать с этого).

Согласно ГОСТ Р 53114-2008 безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. Вот этим и придется заниматься на предприятии. И говорить сегодня именно с точки зрения штатного ИБшника (инжинера или техника) в одной из компаний, а не про сотрудника профильных организаций, занимающихся безопасностью.

Повторюсь, будет уделено внимание НПА, так как без знания законодательства Вас просто, кхм… повесить могут много всего в общем))

1) правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов…
2) техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством…
3) криптографическая защита информации: защита информации с помощью ее криптографического преобразования…
4) физическая защита информации: защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения…

При выборе направления можно плясать от этих 4 терминов, но на практике в коммерческих компаниях, которые не могут позволить себе большой штат, как минимум 3 из них приходится совмещать (документы, СЗИ, крипта), охрана физического периметра отдельная епархия, обычно на аутсорсе.

Так же стоит
Для просмотра контента необходимо: Войти или зарегистрироваться
с 149 ФЗ "Об информации, информационных технологиях и о защите информации" (статья 16) и
Для просмотра контента необходимо: Войти или зарегистрироваться
ФСТЭК.

Тут мы плавно подошли к другой интересной теме – это, конечно же ориентация на коммерческий сектор, государственные структуры или военные. На выбор может повлиять наличие ограничений по части туризма в некоторых структурах. Так же разные условия труда оплата, льготы и т.д.

  • правовое обеспечение ИБ;
  • работа администратором/техником СЗИ;
  • работа в области инженерно-технической ЗИ на объектах;
  • противодействие техническим разведкам:
  • информационная безопасность телекоммуникационных систем
  • информационная безопасность автоматизированных систем
  • информационно-аналитические системы безопасности
  • компьютерная безопасность;
Эти направления деятельности иногда пересекаются, но в основном (в теории и в ВУЗах) четко выраженные, например, противодействие тех. разведкам, работа в области инженерно-технической ЗИ на объектах. Думаю, излишне говорить, что данные специальности в первую очередь ориентированы для подготовки военных специалистов. ИБ АС (6) относится к АСУ ТП (промышленные предприятия), ИБ ТС (5) это инфокоммуникационные сети – телефония, ЛВС, ГВС и т.д. В КБ (8) идет упор на программирование. Правовое обеспечение в той или иной степени есть почти везде (работа с НПА).

Но тут не все так просто, если посмотреть на рынок труда, то мы увидим, что требуются:

1) Самая часто встречающаяся формулировка, это «Главный специалист/эксперт по ИБ», вот основные должностные обязанности:
Участие в проектной деятельности и в проведении анализа существующей инфраструктуры, разработка предложений по модернизации.
Контроль функционирования антивирусной системы. Реагирование на инциденты.
Аудит выполнения требования политик, регламентов информационной безопасности, подготовка отчетов. Технический аудит.
Аудит соответствия предоставленных доступов к информационным активам (в соответствии с заявками).
Проведение расследований инцидентов по информационной безопасности.
Контроль функционирования средств защиты информации
Участие в технических и организационных мероприятиях по защите коммерческой тайны

2) Теперь взглянем на обязанности специалиста по ИБ в области сертификации ПО:
Участие в консультациях заказчиков и формировании коммерческих предложений (Совместно с отделом продаж).
Оценка объектов испытаний перед проведением сертификации.
Помощь заказчикам в оформлении программной документации по ГОСТ ЕСПД/ЕСКД.
Разворачивание стендов испытаний.
Проведение испытаний.
Оформление отчетных материалов.
Взаимодействие с заказчиками и со ФСТЭК России.
Периодическая отчетность руководителю проектов.

3)Требования к простому специалисту по ИБ:
организация процессов по защите персональных данных в компании, в том числе построение моделей угроз;
принятие мер по организации режима коммерческой тайны;
организация хранения данных;
разработка нормативно-распорядительных документов в области защиты коммерческой тайны и персональных данных и поддержание их в актуальном состоянии;
разработка нормативно-распорядительных документов в области взаимодействие с регуляторами по вопросам организации защиты персональных данных (ФСТЭК, Роскомнадор);
инструктаж работников по информационной безопасности при приеме на работу;
консультирование и обучение сотрудников по информационной безопасности.

Эти требования взяты из вакансий коммерческих организаций/гос. контор.
На основании анализа этих требований можно выбрать себе направление деятельности. Если проанализировать названия вакансий и должностей, то можно увидеть, что редки вакансии специалиста по инженерно-технической ЗИ, борьбе с иностранными разведками, работу в этой области обеспечивают соотв. военные организации.

Резюмируя можно сказать, что в гражданском сегменте рынка труда присутствуют такие требования:
Знание НПА и разработка НРД
Организация мер по защите коммерческой тайны и персональных данных
Умение работать с со средствами ЗИ, в т.ч. криптографическими
Умение проводить обследования и аудит ИБ по различным нормативным требованиями и стандартам
Работа с персоналом предприятия
Выявление и расследование инцидентов ИБ

Вот эти требования предъявляют работодатели к сотрудникам на предприятии, а не умение писать стиллеры на C#, ломать соседский WiFi изощренными способами, открывать наручники и разные замки и т.д. Все это интересно, но все же надо ориентироваться на реальность, так как человек, умеющий все вышеперечисленное может оказаться не обученным работать с СЗИ от НСД, защищать периметр сети и т.д.

Некоторое документы, которые нужно составить на предприятии:
  • свою должностную инструкцию (при отсутствии)
  • перечень ИС и инф. огран. дост
  • перечень лиц, допущ. к обраб. инф
  • приказ об назнач. ответств. за ЗИ
  • правила обращ. с машинн. носит. инф
  • инструкция по антивир. защ
  • инструкция по организ. парольн. защ
  • приказ об обеспечен. мер по ЗИ
  • и т.д.

При выборе различных направлений по ИБ/учебного заведения надо понимать, что в большинстве случаев Вас ждет вакансия обычного специалиста по ИБ в лучшем случае, так как сейчас я не наблюдаю спроса на молодых специалистов в этой области, нужно на всякий случай иметь еще профили – программирование, администрирование сетей и т.д.

По поводу детального описания КБ от ИБ, ИБ ТС от ИБ АС и прочего много информации в гугле,
Для просмотра контента необходимо: Войти или зарегистрироваться
, остальная теория
Для просмотра контента необходимо: Войти или зарегистрироваться
(не вижу смысла копипастить это море сюда). Естественно подробности про защиту АСУ ТП, спец. обследование помещений, поиска закладок, работу с нелинейником рассказывать никто не будет, для этого надо идти на обучение. Имеющейся информации достаточно для выбора направления обучения. Можно использовать документы ВУЗов для понимания того, что должен уметь специалист, однако с поправкой на рынок труда.
 
Последнее редактирование:

Viacheslav

Премиум
10.06.2017
201
308
#2
Приветствую всех!

Дисклеймер: тут возникла небольшая потребность восполнить пробелы по профориентации посетителей форума, решил помочь в силу своих возможностей, статья не является истиной в последней инстанции, так что попрошу дополнить тему людей с опытом работы в сфере защиты информации/штатных пентестеров и т.д. Статья может показаться получится скучноватой из-за ФЗ и ГОСТов, но тут ничего не поделать.

Тема информационной безопасности (далее - ИБ) достаточно популярна сегодня в медийном пространстве. Многие изучают данную область знаний в качестве любителей, что прекрасно. В Сети регулярно появляются вопросы «Как и с чего начать свой путь в ИБ?» и т.д. Иногда задают более умные вопросы: «А какое направление выбрать»? Собственно, ответ на последний вопрос каждый должен дать сам себе, ознакомившись с основными направлениями ИБ/IT.

Так же люди, занимающиеся ИБ в качестве хобби спрашивают, как им «вкатиться» в практическую ИБ, перестать быть «киддисами» и т.д. И на предыдущий вопрос им обычно отвечают тролли от IT/ИБ, генерируя список знаний, который не каждый супермен осилит. Некоторые всерьез советуют какие-то сферические списки в вакууме (плод больного воображения). В общем диагноз не утешительный.

Так вот все эти «списки» полнейшая чушь от людей с завышенным ЧСВ или неадекватно воспринимающих реальность (что в общем то одно и тоже). Спорить с ними я не намерен, и попрошу их не отравлять своими навязчивыми идеями данную тему.

Итак, Вы хотите разобраться в сфере ИБ. Это самое обычная профессия/хобби. Вот тут надо определиться сразу что Вам нужно, если речь идет о занятиях для себя, тот тут конечно можно заниматься чем и, как угодно, изучать все подряд и т.д. Когда же мы говорим не просто о желании зарабатывать, но и о получении квалификации и компетентности в данной области, то без сомнения нужен системный подход.

Просто взять и изучить ИБ с 0 нельзя. Нужна определенная база знаний в IT. Что именно зависит от выбранной специализации, так что тут тоже нужно самостоятельно подумать головой. Единственные два навыка, которые нужны почти всегда – это умение читать техническую литературу на английском и навыки продвинутого пользователя ПК (можно начать с этого).

Согласно ГОСТ Р 53114-2008 безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. Вот этим и придется заниматься на предприятии. И говорить сегодня именно с точки зрения штатного ИБшника (инжинера или техника) в одной из компаний, а не про сотрудника профильных организаций, занимающихся безопасностью.

Повторюсь, будет уделено внимание НПА, так как без знания законодательства Вас просто, кхм… повесить могут много всего в общем))

1) правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов…
2) техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством…
3) криптографическая защита информации: защита информации с помощью ее криптографического преобразования…
4) физическая защита информации: защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения…

При выборе направления можно плясать от этих 4 терминов, но на практике в коммерческих компаниях, которые не могут позволить себе большой штат, как минимум 3 из них приходится совмещать (документы, СЗИ, крипта), охрана физического периметра отдельная епархия, обычно на аутсорсе.

Так же стоит
Для просмотра контента необходимо: Войти или зарегистрироваться
с 149 ФЗ "Об информации, информационных технологиях и о защите информации" (статья 16) и
Для просмотра контента необходимо: Войти или зарегистрироваться
ФСТЭК.

Тут мы плавно подошли к другой интересной теме – это, конечно же ориентация на коммерческий сектор, государственные структуры или военные. На выбор может повлиять наличие ограничений по части туризма в некоторых структурах. Так же разные условия труда оплата, льготы и т.д.

  • правовое обеспечение ИБ;
  • работа администратором/техником СЗИ;
  • работа в области инженерно-технической ЗИ на объектах;
  • противодействие техническим разведкам:
  • информационная безопасность телекоммуникационных систем
  • информационная безопасность автоматизированных систем
  • информационно-аналитические системы безопасности
  • компьютерная безопасность;
Эти направления деятельности иногда пересекаются, но в основном (в теории и в ВУЗах) четко выраженные, например, противодействие тех. разведкам, работа в области инженерно-технической ЗИ на объектах. Думаю, излишне говорить, что данные специальности в первую очередь ориентированы для подготовки военных специалистов. ИБ АС (6) относится к АСУ ТП (промышленные предприятия), ИБ ТС (5) это инфокоммуникационные сети – телефония, ЛВС, ГВС и т.д. В КБ (8) идет упор на программирование. Правовое обеспечение в той или иной степени есть почти везде (работа с НПА).

Но тут не все так просто, если посмотреть на рынок труда, то мы увидим, что требуются:

1) Самая часто встречающаяся формулировка, это «Главный специалист/эксперт по ИБ», вот основные должностные обязанности:
Участие в проектной деятельности и в проведении анализа существующей инфраструктуры, разработка предложений по модернизации.
Контроль функционирования антивирусной системы. Реагирование на инциденты.
Аудит выполнения требования политик, регламентов информационной безопасности, подготовка отчетов. Технический аудит.
Аудит соответствия предоставленных доступов к информационным активам (в соответствии с заявками).
Проведение расследований инцидентов по информационной безопасности.
Контроль функционирования средств защиты информации
Участие в технических и организационных мероприятиях по защите коммерческой тайны

2) Теперь взглянем на обязанности специалиста по ИБ в области сертификации ПО:
Участие в консультациях заказчиков и формировании коммерческих предложений (Совместно с отделом продаж).
Оценка объектов испытаний перед проведением сертификации.
Помощь заказчикам в оформлении программной документации по ГОСТ ЕСПД/ЕСКД.
Разворачивание стендов испытаний.
Проведение испытаний.
Оформление отчетных материалов.
Взаимодействие с заказчиками и со ФСТЭК России.
Периодическая отчетность руководителю проектов.

3)Требования к простому специалисту по ИБ:
организация процессов по защите персональных данных в компании, в том числе построение моделей угроз;
принятие мер по организации режима коммерческой тайны;
организация хранения данных;
разработка нормативно-распорядительных документов в области защиты коммерческой тайны и персональных данных и поддержание их в актуальном состоянии;
разработка нормативно-распорядительных документов в области взаимодействие с регуляторами по вопросам организации защиты персональных данных (ФСТЭК, Роскомнадор);
инструктаж работников по информационной безопасности при приеме на работу;
консультирование и обучение сотрудников по информационной безопасности.

Эти требования взяты из вакансий коммерческих организаций/гос. контор.
На основании анализа этих требований можно выбрать себе направление деятельности. Если проанализировать названия вакансий и должностей, то можно увидеть, что редки вакансии специалиста по инженерно-технической ЗИ, борьбе с иностранными разведками, работу в этой области обеспечивают соотв. военные организации.

Резюмируя можно сказать, что в гражданском сегменте рынка труда присутствуют такие требования:
Знание НПА и разработка НРД
Организация мер по защите коммерческой тайны и персональных данных
Умение работать с со средствами ЗИ, в т.ч. криптографическими
Умение проводить обследования и аудит ИБ по различным нормативным требованиями и стандартам
Работа с персоналом предприятия
Выявление и расследование инцидентов ИБ

Вот эти требования предъявляют работодатели к сотрудникам на предприятии, а не умение писать стиллеры на C#, ломать соседский WiFi изощренными способами, открывать наручники и разные замки и т.д. Все это интересно, но все же надо ориентироваться на реальность, так как человек, умеющий все вышеперечисленное может оказаться не обученным работать с СЗИ от НСД, защищать периметр сети и т.д.

Некоторое документы, которые нужно составить на предприятии:
  • свою должностную инструкцию (при отсутствии)
  • перечень ИС и инф. огран. дост
  • перечень лиц, допущ. к обраб. инф
  • приказ об назнач. ответств. за ЗИ
  • правила обращ. с машинн. носит. инф
  • инструкция по антивир. защ
  • инструкция по организ. парольн. защ
  • приказ об обеспечен. мер по ЗИ
  • и т.д.

При выборе различных направлений по ИБ/учебного заведения надо понимать, что в большинстве случаев Вас ждет вакансия обычного специалиста по ИБ в лучшем случае, так как сейчас я не наблюдаю спроса на молодых специалистов в этой области, нужно на всякий случай иметь еще профили – программирование, администрирование сетей и т.д.

По поводу детального описания КБ от ИБ, ИБ ТС от ИБ АС и прочего много информации в гугле,
Для просмотра контента необходимо: Войти или зарегистрироваться
, остальная теория
Для просмотра контента необходимо: Войти или зарегистрироваться
(не вижу смысла копипастить это море сюда). Естественно подробности про защиту АСУ ТП, спец. обследование помещений, поиска закладок, работу с нелинейником рассказывать никто не будет, для этого надо идти на обучение. Имеющейся информации достаточно для выбора направления обучения. Можно использовать документы ВУЗов для понимания того, что должен уметь специалист, однако с поправкой на рынок труда.
Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться
 

z3r0c10wn

Well-known member
04.09.2017
105
204
#3
Проблема сложилась из того что многие путают понятие Offence и Defence, конкретно в РФ и в реестре профов указываются Defence ветки ИБ - то есть Безопасник. Offence ветка в нашей стране как таковая слабо регламентирована и стандартизирована с точки зрения государственных определений хотя это как таковое и есть развитие Pentest практик. Думаю что мы придем к этому но не сразу.
 
Симпатии: Понравилось yarr

VikTor1990

Well-known member
25.02.2017
65
12
#6
Отличная статья, по своему опыту могу сказать, что руководство гос учреждений, имея такие требования к специалисту, зачастую не желает приобретать необходимого оборудования и ПО, которое бы соответствовало классу безопасности их организации, на примере моей конторы планировалась закупка криптографической защиты на приличный парк машин, сумма перевалила за 800 т.р., а выделили денег только 200 т.р. и как говорит руководство еб***сь как хочешь, но в сумму нужно уложиться))) В некоторых моментах ИБ лучше всего изучать для своего собственного развития.
 
21.03.2018
6
6
#7
Как человек работающий в сфере, имеющий опыт проектирования и работы в Аутсорсе по ИБ. Первое что надо знать и уметь в наших реалиях (особенно в коммерческом секторе) это ЗАКОНЫ (152ФЗ, 1119 ПП, 21 ПРИКАЗ ФСТЭК, 152 приказ ФАПСИ и 387 Приказ ФСБ и т.п.), а самое главное знать, как эти законы обходить и нивелировать, т.е. безопасник сейчас в большинстве случаев является ещё и немного юристом.
Дальнейший навык, анализировать бизнесс-процессы в компании, и накладывать на них требования всего выше-перечисленного для их исполнения + учитывать требования реальной безопасности и грамотно описать все это в РМД.
Также для выбиванияю Бюджетов надо уметь аргументировать покупку и проведение необходимых работ, а для этого вперёд на изучение оценки рисков и активов компании (в госах это заканчивается на уровне формирования модели угроз, но это очень ограниченная оценка рисков, ввиду того, что это обычно только требования Законодательства).
Далее надо знать сети, желательно на уровне CCNA, основы криптографии и из всех сфер окружающих ИБ надо знать необходимые минимумы. Где-то углубляться по необходимости, в зависимости от спецификации.

Можно пойти технарем в те же аутсорсы: т.е. тупо настраивать СЗИ от НСД, СКЗИ, FW и т.п. согласно проекту. Тут меньше головной боли в части законов и прочего.
Пентестеры нужны чаще в компании предлагающие услуги SOC, но там больше как люди, знающие более детально вектора атак и обнаружить эти самые атаки.

А вообще очень зависит от компании в которой работаешь. В Гос. в основном все на знании нормативки заканчивается и банальном обслуживании средств защиты которые изначально ставят аутсорсеры по контрактам.
В банках там еще добавляются творчества ЦБ и их требования.
Пентест почти ни где не нужен. Даже на текущем месте работы моем (разработка web-приложения) пентест не нужен ни кому. И дешевле нанять стороннюю организацию для его проведения + грамотно организовать Continius Integration и прикрутить сюда кучу тестов, так называемый DevSecOps. Перспективная тема, но компаний, которым это надо, действительно очень мало, и у них уже имеется устоявшаяся служба ИБ как правило, и это не для новичков в ИБ, но тут как раз и нужны частично навыки Pentest.
 

Viacheslav

Премиум
10.06.2017
201
308
#8
Как человек работающий в сфере, имеющий опыт проектирования и работы в Аутсорсе по ИБ. Первое что надо знать и уметь в наших реалиях (особенно в коммерческом секторе) это ЗАКОНЫ (152ФЗ, 1119 ПП, 21 ПРИКАЗ ФСТЭК, 152 приказ ФАПСИ и 387 Приказ ФСБ и т.п.), а самое главное знать, как эти законы обходить и нивелировать, т.е. безопасник сейчас в большинстве случаев является ещё и немного юристом.
Дальнейший навык, анализировать бизнесс-процессы в компании, и накладывать на них требования всего выше-перечисленного для их исполнения + учитывать требования реальной безопасности и грамотно описать все это в РМД.
Также для выбиванияю Бюджетов надо уметь аргументировать покупку и проведение необходимых работ, а для этого вперёд на изучение оценки рисков и активов компании (в госах это заканчивается на уровне формирования модели угроз, но это очень ограниченная оценка рисков, ввиду того, что это обычно только требования Законодательства).
Далее надо знать сети, желательно на уровне CCNA, основы криптографии и из всех сфер окружающих ИБ надо знать необходимые минимумы. Где-то углубляться по необходимости, в зависимости от спецификации.

Можно пойти технарем в те же аутсорсы: т.е. тупо настраивать СЗИ от НСД, СКЗИ, FW и т.п. согласно проекту. Тут меньше головной боли в части законов и прочего.
Пентестеры нужны чаще в компании предлагающие услуги SOC, но там больше как люди, знающие более детально вектора атак и обнаружить эти самые атаки.

А вообще очень зависит от компании в которой работаешь. В Гос. в основном все на знании нормативки заканчивается и банальном обслуживании средств защиты которые изначально ставят аутсорсеры по контрактам.
В банках там еще добавляются творчества ЦБ и их требования.
Пентест почти ни где не нужен. Даже на текущем месте работы моем (разработка web-приложения) пентест не нужен ни кому. И дешевле нанять стороннюю организацию для его проведения + грамотно организовать Continius Integration и прикрутить сюда кучу тестов, так называемый DevSecOps. Перспективная тема, но компаний, которым это надо, действительно очень мало, и у них уже имеется устоявшаяся служба ИБ как правило, и это не для новичков в ИБ, но тут как раз и нужны частично навыки Pentest.
@zakrush, здрав будь! <самое главное знать, как эти законы обходить и нивелировать>, т.е DDoS это не DDoS а "нагрузочное тестирование", взлом это не взлом, а "внеучетный доступ"...

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться
Для просмотра контента необходимо: Войти или зарегистрироваться


 
21.03.2018
6
6
#9
@Viacheslav нет. Ты не так понял мою фразу.
Смысл такой: вот есть например требование 21 приказа: Обеспечивать конфиденциальность и целостность передаваемых данных.
Ок. У тебя уже есть IPSec на тех же Cisco и т.п. роутерах. Но если ты буквально прямо будешь читать закон, то ты должен выкинуть Свою циску, и поставить тот же VipNET как сертифицированную Крипту согласно 378 приказу. В итоге ты делаешь компенсирующие меры, и обосновываешь, почему перехват и модификация информации передаваемой по каналам связи у тебя маловероятна.
И так во всем (особенно касательно всяких сертифицированных средств). И все эти ходы ты должен знать и уметь отстаивать перед регуляторами (и как в моем случае перед Заказчиками). Т.к. в коммерческих организация очень считают деньги и переплачивать за бумажку о "сертификации" крайне не хотят, а это обычно x2 к ценнику.
+ у сертифицированных средств очень много недостатков, касательно обеспечения реальной безопасности и эти недостатки как раз упираются в процесс Сертификации. Пример недавний:
1. Обязывают использовать антивирусное средство. Ок ты покупаешь ту же сертифированную версию Касперского.
2. Выходит обновление Винды, которое не совместимо с текущей версией Касперского (которая сертифицирована).
Итог: или ты не обновляешь винду и оставляешь в ней дыры и ждешь когда пройдут сертификационные испытания новой версии Касперского (а это минимум пол года). Либо ты принудительно переходишь на новую версию Касперского, который не сертифицирован.

@Viacheslav
Касательно ваших ссылок, они к реальности имеют мало отношения, ввиду того, что в российской действительности сейчас вся ИБ крутится вокруг 152-ФЗ и в первую очередь защищают ПДн и дают под это бюджеты. И все проблемы, трактовки и т.п. выходят оттуда, и это сейчас самое востредованное, т.к. персональные данные везде. (те же куки по мнению РКН это персональные данные со всеми вытекающими последствиями). И у бизнеса большие риски, что их могут прикрыть из-за невыполнения положений 152-ФЗ и целого каскада документации его сопровождающей. + иные риски связанные с исполнением 152 ФЗ в полной мере. (У меня к примеру, это не подписание контракта с заказчиком).
 
Последнее редактирование:

Viacheslav

Премиум
10.06.2017
201
308
#10
@Viacheslav нет. Ты не так понял мою фразу.
Смысл такой: вот есть например требование 21 приказа: Обеспечивать конфиденциальность и целостность передаваемых данных.
Ок. У тебя уже есть IPSec на тех же Cisco и т.п. роутерах. Но если ты буквально прямо будешь читать закон, то ты должен выкинуть Свою циску, и поставить тот же VipNET как сертифицированную Крипту согласно 378 приказу. В итоге ты делаешь компенсирующие меры, и обосновываешь, почему перехват и модификация информации передаваемой по каналам связи у тебя маловероятна.
И так во всем (особенно касательно всяких сертифицированных средств). И все эти ходы ты должен знать и уметь отстаивать перед регуляторами (и как в моем случае перед Заказчиками). Т.к. в коммерческих организация очень считают деньги и переплачивать за бумажку о "сертификации" крайне не хотят, а это обычно x2 к ценнику.
+ у сертифицированных средств очень много недостатков, касательно обеспечения реальной безопасности и эти недостатки как раз упираются в процесс Сертификации. Пример недавний:
1. Обязывают использовать антивирусное средство. Ок ты покупаешь ту же сертифированную версию Касперского.
2. Выходит обновление Винды, которое не совместимо с текущей версией Касперского (которая сертифицирована).
Итог: или ты не обновляешь винду и оставляешь в ней дыры и ждешь когда пройдут сертификационные испытания новой версии Касперского (а это минимум пол года). Либо ты принудительно переходишь на новую версию Касперского, который не сертифицирован.

@Viacheslav
Касательно ваших ссылок, они к реальности имеют мало отношения, ввиду того, что в российской действительности сейчас вся ИБ крутится вокруг 152-ФЗ и в первую очередь защищают ПДн и дают под это бюджеты. И все проблемы, трактовки и т.п. выходят оттуда, и это сейчас самое востредованное, т.к. персональные данные везде. (те же куки по мнению РКН это персональные данные со всеми вытекающими последствиями).
Обязывают использовать антивирусное средство - и это при использовании более, чем 100% зарубежного софта в целом в отрасли, браво, это есть весьма небезопасная безопасность, возможно кто-то в нее верит, я же в этом плане атеист.

Нервная, однако, работа у безопасников, ввиду российской действительности:cautious: Ссылки не мои, авторские, т.е получается <хотели, как лучше, а получилось, как всегда>, люди годами собирали материал для диссеров, выходили на защиту, но есть ньюанс, заключающийся в том, что при существующем законодательстве <одно еще долго не будет подходить к другому>, что сказать, рад за авторов, которые все таки получили степень и, надеюсь, благополучно продолжают профессиональную деятельность.
 
21.03.2018
6
6
#11
Ну как обязывают. В коммерческих компаниях это можно более менее обойти. В Гос. все очень строго, там нет юридических лазеек.
В Целом в отрасли ИБ много уже отечественного софта. Правда порой это переделанный OpenSource под своим соусом, но крупные игроки вполне себе самостоятельны. Вплоть до ОС (на базе nix ядра конечно, но к примеру с поддержкой процессора Эльбрус).
Процессу сертификации подтвергаются также и иностранные решения которые могут дать свои исходники в соответствующие органы. Например Cisco имеет сертификаты как FW. FortiGate как FW+IPS. (Версии только не очень свежие). Palo Alto (но у них отозвали, из-за неустранения уязвимости).
 

Viacheslav

Премиум
10.06.2017
201
308
#12
Ну как обязывают. В коммерческих компаниях это можно более менее обойти. В Гос. все очень строго, там нет юридических лазеек.
В Целом в отрасли ИБ много уже отечественного софта. Правда порой это переделанный OpenSource под своим соусом, но крупные игроки вполне себе самостоятельны. Вплоть до ОС (на базе nix ядра конечно, но к примеру с поддержкой процессора Эльбрус).
Процессу сертификации подтвергаются также и иностранные решения которые могут дать свои исходники в соответствующие органы. Например Cisco имеет сертификаты как FW. FortiGate как FW+IPS. (Версии только не очень свежие). Palo Alto (но у них отозвали, из-за неустранения уязвимости).
Т.е на работе будут сидеть на том, что предписано сертификатом (монопольно), а дома все же установят 360Total вместо Каспера и арч или кали вместо росы или альтлинукса:unsure::giggle::coffee: