Статья Информационная безопасность и защита информации на предприятии

yarr

Grey Team
05.10.2017
95
185
#1
Приветствую всех!

Дисклеймер: тут возникла небольшая потребность восполнить пробелы по профориентации посетителей форума, решил помочь в силу своих возможностей, статья не является истиной в последней инстанции, так что попрошу дополнить тему людей с опытом работы в сфере защиты информации/штатных пентестеров и т.д. Статья может показаться получится скучноватой из-за ФЗ и ГОСТов, но тут ничего не поделать.

Тема информационной безопасности (далее - ИБ) достаточно популярна сегодня в медийном пространстве. Многие изучают данную область знаний в качестве любителей, что прекрасно. В Сети регулярно появляются вопросы «Как и с чего начать свой путь в ИБ?» и т.д. Иногда задают более умные вопросы: «А какое направление выбрать»? Собственно, ответ на последний вопрос каждый должен дать сам себе, ознакомившись с основными направлениями ИБ/IT.

Так же люди, занимающиеся ИБ в качестве хобби спрашивают, как им «вкатиться» в практическую ИБ, перестать быть «киддисами» и т.д. И на предыдущий вопрос им обычно отвечают тролли от IT/ИБ, генерируя список знаний, который не каждый супермен осилит. Некоторые всерьез советуют какие-то сферические списки в вакууме (плод больного воображения). В общем диагноз не утешительный.

Так вот все эти «списки» полнейшая чушь от людей с завышенным ЧСВ или неадекватно воспринимающих реальность (что в общем то одно и тоже). Спорить с ними я не намерен, и попрошу их не отравлять своими навязчивыми идеями данную тему.

Итак, Вы хотите разобраться в сфере ИБ. Это самое обычная профессия/хобби. Вот тут надо определиться сразу что Вам нужно, если речь идет о занятиях для себя, тот тут конечно можно заниматься чем и, как угодно, изучать все подряд и т.д. Когда же мы говорим не просто о желании зарабатывать, но и о получении квалификации и компетентности в данной области, то без сомнения нужен системный подход.

Просто взять и изучить ИБ с 0 нельзя. Нужна определенная база знаний в IT. Что именно зависит от выбранной специализации, так что тут тоже нужно самостоятельно подумать головой. Единственные два навыка, которые нужны почти всегда – это умение читать техническую литературу на английском и навыки продвинутого пользователя ПК (можно начать с этого).

Согласно ГОСТ Р 53114-2008 безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. Вот этим и придется заниматься на предприятии. И говорить сегодня именно с точки зрения штатного ИБшника (инжинера или техника) в одной из компаний, а не про сотрудника профильных организаций, занимающихся безопасностью.

Повторюсь, будет уделено внимание НПА, так как без знания законодательства Вас просто, кхм… повесить могут много всего в общем))

1) правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов…
2) техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством…
3) криптографическая защита информации: защита информации с помощью ее криптографического преобразования…
4) физическая защита информации: защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения…

При выборе направления можно плясать от этих 4 терминов, но на практике в коммерческих компаниях, которые не могут позволить себе большой штат, как минимум 3 из них приходится совмещать (документы, СЗИ, крипта), охрана физического периметра отдельная епархия, обычно на аутсорсе.

Так же стоит
Для просмотра контента необходимо: Войти или зарегистрироваться
с 149 ФЗ "Об информации, информационных технологиях и о защите информации" (статья 16) и
Для просмотра контента необходимо: Войти или зарегистрироваться
ФСТЭК.

Тут мы плавно подошли к другой интересной теме – это, конечно же ориентация на коммерческий сектор, государственные структуры или военные. На выбор может повлиять наличие ограничений по части туризма в некоторых структурах. Так же разные условия труда оплата, льготы и т.д.

  • правовое обеспечение ИБ;
  • работа администратором/техником СЗИ;
  • работа в области инженерно-технической ЗИ на объектах;
  • противодействие техническим разведкам:
  • информационная безопасность телекоммуникационных систем
  • информационная безопасность автоматизированных систем
  • информационно-аналитические системы безопасности
  • компьютерная безопасность;
Эти направления деятельности иногда пересекаются, но в основном (в теории и в ВУЗах) четко выраженные, например, противодействие тех. разведкам, работа в области инженерно-технической ЗИ на объектах. Думаю, излишне говорить, что данные специальности в первую очередь ориентированы для подготовки военных специалистов. ИБ АС (6) относится к АСУ ТП (промышленные предприятия), ИБ ТС (5) это инфокоммуникационные сети – телефония, ЛВС, ГВС и т.д. В КБ (8) идет упор на программирование. Правовое обеспечение в той или иной степени есть почти везде (работа с НПА).

Но тут не все так просто, если посмотреть на рынок труда, то мы увидим, что требуются:

1) Самая часто встречающаяся формулировка, это «Главный специалист/эксперт по ИБ», вот основные должностные обязанности:
Участие в проектной деятельности и в проведении анализа существующей инфраструктуры, разработка предложений по модернизации.
Контроль функционирования антивирусной системы. Реагирование на инциденты.
Аудит выполнения требования политик, регламентов информационной безопасности, подготовка отчетов. Технический аудит.
Аудит соответствия предоставленных доступов к информационным активам (в соответствии с заявками).
Проведение расследований инцидентов по информационной безопасности.
Контроль функционирования средств защиты информации
Участие в технических и организационных мероприятиях по защите коммерческой тайны

2) Теперь взглянем на обязанности специалиста по ИБ в области сертификации ПО:
Участие в консультациях заказчиков и формировании коммерческих предложений (Совместно с отделом продаж).
Оценка объектов испытаний перед проведением сертификации.
Помощь заказчикам в оформлении программной документации по ГОСТ ЕСПД/ЕСКД.
Разворачивание стендов испытаний.
Проведение испытаний.
Оформление отчетных материалов.
Взаимодействие с заказчиками и со ФСТЭК России.
Периодическая отчетность руководителю проектов.

3)Требования к простому специалисту по ИБ:
организация процессов по защите персональных данных в компании, в том числе построение моделей угроз;
принятие мер по организации режима коммерческой тайны;
организация хранения данных;
разработка нормативно-распорядительных документов в области защиты коммерческой тайны и персональных данных и поддержание их в актуальном состоянии;
разработка нормативно-распорядительных документов в области взаимодействие с регуляторами по вопросам организации защиты персональных данных (ФСТЭК, Роскомнадор);
инструктаж работников по информационной безопасности при приеме на работу;
консультирование и обучение сотрудников по информационной безопасности.

Эти требования взяты из вакансий коммерческих организаций/гос. контор.
На основании анализа этих требований можно выбрать себе направление деятельности. Если проанализировать названия вакансий и должностей, то можно увидеть, что редки вакансии специалиста по инженерно-технической ЗИ, борьбе с иностранными разведками, работу в этой области обеспечивают соотв. военные организации.

Резюмируя можно сказать, что в гражданском сегменте рынка труда присутствуют такие требования:
Знание НПА и разработка НРД
Организация мер по защите коммерческой тайны и персональных данных
Умение работать с со средствами ЗИ, в т.ч. криптографическими
Умение проводить обследования и аудит ИБ по различным нормативным требованиями и стандартам
Работа с персоналом предприятия
Выявление и расследование инцидентов ИБ

Вот эти требования предъявляют работодатели к сотрудникам на предприятии, а не умение писать стиллеры на C#, ломать соседский WiFi изощренными способами, открывать наручники и разные замки и т.д. Все это интересно, но все же надо ориентироваться на реальность, так как человек, умеющий все вышеперечисленное может оказаться не обученным работать с СЗИ от НСД, защищать периметр сети и т.д.

Некоторое документы, которые нужно составить на предприятии:
  • свою должностную инструкцию (при отсутствии)
  • перечень ИС и инф. огран. дост
  • перечень лиц, допущ. к обраб. инф
  • приказ об назнач. ответств. за ЗИ
  • правила обращ. с машинн. носит. инф
  • инструкция по антивир. защ
  • инструкция по организ. парольн. защ
  • приказ об обеспечен. мер по ЗИ
  • и т.д.

При выборе различных направлений по ИБ/учебного заведения надо понимать, что в большинстве случаев Вас ждет вакансия обычного специалиста по ИБ в лучшем случае, так как сейчас я не наблюдаю спроса на молодых специалистов в этой области, нужно на всякий случай иметь еще профили – программирование, администрирование сетей и т.д.

По поводу детального описания КБ от ИБ, ИБ ТС от ИБ АС и прочего много информации в гугле,
Для просмотра контента необходимо: Войти или зарегистрироваться
, остальная теория
Для просмотра контента необходимо: Войти или зарегистрироваться
(не вижу смысла копипастить это море сюда). Естественно подробности про защиту АСУ ТП, спец. обследование помещений, поиска закладок, работу с нелинейником рассказывать никто не будет, для этого надо идти на обучение. Имеющейся информации достаточно для выбора направления обучения. Можно использовать документы ВУЗов для понимания того, что должен уметь специалист, однако с поправкой на рынок труда.
 
Последнее редактирование:

Viacheslav

Well-known member
10.06.2017
110
163
#2
Приветствую всех!

Дисклеймер: тут возникла небольшая потребность восполнить пробелы по профориентации посетителей форума, решил помочь в силу своих возможностей, статья не является истиной в последней инстанции, так что попрошу дополнить тему людей с опытом работы в сфере защиты информации/штатных пентестеров и т.д. Статья может показаться получится скучноватой из-за ФЗ и ГОСТов, но тут ничего не поделать.

Тема информационной безопасности (далее - ИБ) достаточно популярна сегодня в медийном пространстве. Многие изучают данную область знаний в качестве любителей, что прекрасно. В Сети регулярно появляются вопросы «Как и с чего начать свой путь в ИБ?» и т.д. Иногда задают более умные вопросы: «А какое направление выбрать»? Собственно, ответ на последний вопрос каждый должен дать сам себе, ознакомившись с основными направлениями ИБ/IT.

Так же люди, занимающиеся ИБ в качестве хобби спрашивают, как им «вкатиться» в практическую ИБ, перестать быть «киддисами» и т.д. И на предыдущий вопрос им обычно отвечают тролли от IT/ИБ, генерируя список знаний, который не каждый супермен осилит. Некоторые всерьез советуют какие-то сферические списки в вакууме (плод больного воображения). В общем диагноз не утешительный.

Так вот все эти «списки» полнейшая чушь от людей с завышенным ЧСВ или неадекватно воспринимающих реальность (что в общем то одно и тоже). Спорить с ними я не намерен, и попрошу их не отравлять своими навязчивыми идеями данную тему.

Итак, Вы хотите разобраться в сфере ИБ. Это самое обычная профессия/хобби. Вот тут надо определиться сразу что Вам нужно, если речь идет о занятиях для себя, тот тут конечно можно заниматься чем и, как угодно, изучать все подряд и т.д. Когда же мы говорим не просто о желании зарабатывать, но и о получении квалификации и компетентности в данной области, то без сомнения нужен системный подход.

Просто взять и изучить ИБ с 0 нельзя. Нужна определенная база знаний в IT. Что именно зависит от выбранной специализации, так что тут тоже нужно самостоятельно подумать головой. Единственные два навыка, которые нужны почти всегда – это умение читать техническую литературу на английском и навыки продвинутого пользователя ПК (можно начать с этого).

Согласно ГОСТ Р 53114-2008 безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. Вот этим и придется заниматься на предприятии. И говорить сегодня именно с точки зрения штатного ИБшника (инжинера или техника) в одной из компаний, а не про сотрудника профильных организаций, занимающихся безопасностью.

Повторюсь, будет уделено внимание НПА, так как без знания законодательства Вас просто, кхм… повесить могут много всего в общем))

1) правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов…
2) техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством…
3) криптографическая защита информации: защита информации с помощью ее криптографического преобразования…
4) физическая защита информации: защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения…

При выборе направления можно плясать от этих 4 терминов, но на практике в коммерческих компаниях, которые не могут позволить себе большой штат, как минимум 3 из них приходится совмещать (документы, СЗИ, крипта), охрана физического периметра отдельная епархия, обычно на аутсорсе.

Так же стоит
Для просмотра контента необходимо: Войти или зарегистрироваться
с 149 ФЗ "Об информации, информационных технологиях и о защите информации" (статья 16) и
Для просмотра контента необходимо: Войти или зарегистрироваться
ФСТЭК.

Тут мы плавно подошли к другой интересной теме – это, конечно же ориентация на коммерческий сектор, государственные структуры или военные. На выбор может повлиять наличие ограничений по части туризма в некоторых структурах. Так же разные условия труда оплата, льготы и т.д.

  • правовое обеспечение ИБ;
  • работа администратором/техником СЗИ;
  • работа в области инженерно-технической ЗИ на объектах;
  • противодействие техническим разведкам:
  • информационная безопасность телекоммуникационных систем
  • информационная безопасность автоматизированных систем
  • информационно-аналитические системы безопасности
  • компьютерная безопасность;
Эти направления деятельности иногда пересекаются, но в основном (в теории и в ВУЗах) четко выраженные, например, противодействие тех. разведкам, работа в области инженерно-технической ЗИ на объектах. Думаю, излишне говорить, что данные специальности в первую очередь ориентированы для подготовки военных специалистов. ИБ АС (6) относится к АСУ ТП (промышленные предприятия), ИБ ТС (5) это инфокоммуникационные сети – телефония, ЛВС, ГВС и т.д. В КБ (8) идет упор на программирование. Правовое обеспечение в той или иной степени есть почти везде (работа с НПА).

Но тут не все так просто, если посмотреть на рынок труда, то мы увидим, что требуются:

1) Самая часто встречающаяся формулировка, это «Главный специалист/эксперт по ИБ», вот основные должностные обязанности:
Участие в проектной деятельности и в проведении анализа существующей инфраструктуры, разработка предложений по модернизации.
Контроль функционирования антивирусной системы. Реагирование на инциденты.
Аудит выполнения требования политик, регламентов информационной безопасности, подготовка отчетов. Технический аудит.
Аудит соответствия предоставленных доступов к информационным активам (в соответствии с заявками).
Проведение расследований инцидентов по информационной безопасности.
Контроль функционирования средств защиты информации
Участие в технических и организационных мероприятиях по защите коммерческой тайны

2) Теперь взглянем на обязанности специалиста по ИБ в области сертификации ПО:
Участие в консультациях заказчиков и формировании коммерческих предложений (Совместно с отделом продаж).
Оценка объектов испытаний перед проведением сертификации.
Помощь заказчикам в оформлении программной документации по ГОСТ ЕСПД/ЕСКД.
Разворачивание стендов испытаний.
Проведение испытаний.
Оформление отчетных материалов.
Взаимодействие с заказчиками и со ФСТЭК России.
Периодическая отчетность руководителю проектов.

3)Требования к простому специалисту по ИБ:
организация процессов по защите персональных данных в компании, в том числе построение моделей угроз;
принятие мер по организации режима коммерческой тайны;
организация хранения данных;
разработка нормативно-распорядительных документов в области защиты коммерческой тайны и персональных данных и поддержание их в актуальном состоянии;
разработка нормативно-распорядительных документов в области взаимодействие с регуляторами по вопросам организации защиты персональных данных (ФСТЭК, Роскомнадор);
инструктаж работников по информационной безопасности при приеме на работу;
консультирование и обучение сотрудников по информационной безопасности.

Эти требования взяты из вакансий коммерческих организаций/гос. контор.
На основании анализа этих требований можно выбрать себе направление деятельности. Если проанализировать названия вакансий и должностей, то можно увидеть, что редки вакансии специалиста по инженерно-технической ЗИ, борьбе с иностранными разведками, работу в этой области обеспечивают соотв. военные организации.

Резюмируя можно сказать, что в гражданском сегменте рынка труда присутствуют такие требования:
Знание НПА и разработка НРД
Организация мер по защите коммерческой тайны и персональных данных
Умение работать с со средствами ЗИ, в т.ч. криптографическими
Умение проводить обследования и аудит ИБ по различным нормативным требованиями и стандартам
Работа с персоналом предприятия
Выявление и расследование инцидентов ИБ

Вот эти требования предъявляют работодатели к сотрудникам на предприятии, а не умение писать стиллеры на C#, ломать соседский WiFi изощренными способами, открывать наручники и разные замки и т.д. Все это интересно, но все же надо ориентироваться на реальность, так как человек, умеющий все вышеперечисленное может оказаться не обученным работать с СЗИ от НСД, защищать периметр сети и т.д.

Некоторое документы, которые нужно составить на предприятии:
  • свою должностную инструкцию (при отсутствии)
  • перечень ИС и инф. огран. дост
  • перечень лиц, допущ. к обраб. инф
  • приказ об назнач. ответств. за ЗИ
  • правила обращ. с машинн. носит. инф
  • инструкция по антивир. защ
  • инструкция по организ. парольн. защ
  • приказ об обеспечен. мер по ЗИ
  • и т.д.

При выборе различных направлений по ИБ/учебного заведения надо понимать, что в большинстве случаев Вас ждет вакансия обычного специалиста по ИБ в лучшем случае, так как сейчас я не наблюдаю спроса на молодых специалистов в этой области, нужно на всякий случай иметь еще профили – программирование, администрирование сетей и т.д.

По поводу детального описания КБ от ИБ, ИБ ТС от ИБ АС и прочего много информации в гугле,
Для просмотра контента необходимо: Войти или зарегистрироваться
, остальная теория
Для просмотра контента необходимо: Войти или зарегистрироваться
(не вижу смысла копипастить это море сюда). Естественно подробности про защиту АСУ ТП, спец. обследование помещений, поиска закладок, работу с нелинейником рассказывать никто не будет, для этого надо идти на обучение. Имеющейся информации достаточно для выбора направления обучения. Можно использовать документы ВУЗов для понимания того, что должен уметь специалист, однако с поправкой на рынок труда.
Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться

Для просмотра контента необходимо: Войти или зарегистрироваться
 

z3r0c10wn

Well-known member
04.09.2017
88
146
#3
Проблема сложилась из того что многие путают понятие Offence и Defence, конкретно в РФ и в реестре профов указываются Defence ветки ИБ - то есть Безопасник. Offence ветка в нашей стране как таковая слабо регламентирована и стандартизирована с точки зрения государственных определений хотя это как таковое и есть развитие Pentest практик. Думаю что мы придем к этому но не сразу.
 
Симпатии: Понравилось yarr