Комментарии 42
В древности был обычай, гонцов приносящие дурные вести убивали. Вот с ИБ таже история, никто не любит дурных вестей, разговор с ИБ для боссов или линейного персонала это всегда стресс, т.к. речь будет идти о проблемах или возможных проблемах. ИБ хорошие вести не приносит, это не котики, не розовые пони.
Если нет четкого понимания: "хочу в жизни заниматься только ИБ" то нормальному специалисту в этот головняк лучше не соваться. Плюс отношение, ИБ это люди которые, прибыли не приносят, что-то вроде охранников на входе в оффис, только пообразованнее, вынужденное обременение.
Всем нужна ИБ по умолчанию забесплатно.
Но ведь ИБ в организации не просто появились сами сабой, как Лунтик :) Это боссы и придумали, что в организации нужна ИБ. Если они не готовы к дурным вестям, то бегите оттуда. ИБ, которым нужно доказывать свою необходимость и значимость тупиковый путь.
на сегодняшний день ИБ обязана быть по закону почти в любом крупном инфраструктурно и социально значимом бизнесе (от банков до больниц). Так что это фактически обременение. Я не увтерждаю, что в банках от ИБ пытаются открестится, нет, но отношение к любому пишущему ПО Ит-шнику как полубогу, а к безопаснику - как к обузе. Ну, это как сантехник, без него нельзя ибо канализация может потечь, но вызывает все-таки некоторую брезгливость.
Какая хорошая с сантехником аллегория. Но, к сожалению, руководство компаний не понимают этого, пока не потечет. А отношения между ИБ и другими подразделениями должно быть обеспечено руководством (как и другие подразделения между собой), а не как нибудь сами..
Открестится не пытаются, но тот же большой зеленый банк своих безопасников на мороз целыми отделами выгоняет, в случае чего.
При этом, за все 25 лет нам в лицо тычут что мы для организации только расходы, и что отсутствие инцидентов или их предотвращение - это просто мы (организация) - неуловимый Джо, нафиг никому не нужные, поэтому безопасников держим чисто из сострадания и требований регуляторов (мелким шрифтом).
Зато как в результате действия или, что хуже, бездействия БигБоссов (тм) организация получает на орехи от регуляторов - вновь крайние эти гадкие безопасники. И в этот раз они виноваты в том что не были достаточно убедительны. Хотя на любое документально оформленное предложение или информирование идёт вербальный посыл в Перу.
ниразу, никогда, вообще, не видел ИБшника который вообще в курсе что ему реально нужно делать и почему
Зачастую это какието странные люди которые в состоянии только зачитать по бумажке стандартные методы защиты (свиснутые из какогото стандарта по ИБ) и потребовать их срочно внедрить, при этом не понимая не специфики бизнеса, ни трудозатрат, ни бюджетов...я уж молчу про то что надо еще и программистов обучать чтобы они софт писать наконец начали с учетом того что на это все ИБ надо натягивать
Причем блин буквально..внердяли вот IDS...ИБшники приходили ко мне и спрашивали какие логи они будут смотреть и что там вредоносного может быть...блин...я вообще рядовой линейный админ, учу ИБ как им IDS к нам внедрять...прям рукалицо
и бюжеты да, притащили помнится сервер, когда в него направили все логи от коммуникаций и серверов, у него кончились два гигабитных интерфейса и все его 12 процессоров от перегрузки.... и чо...да, сделайте так чтобы работало быстро, ИБ работу свою сделал, это у погромистов чтото не так, чо они жалуются что прод лежит
ниразу, никогда, вообще, не видел ИБшника который вообще в курсе что ему реально нужно делать и почему
Это просто потому что вы "ниразу, никогда, вообще" не работали в нормальной компании, наверное.
Иногда нужно не только прослыть законопослушным и исполнительным, но и реально защитить и сохранить инфраструктуру.
Бывают очень серьезные, грамотные и интересные люди. Я работаю в компании, которая постоянно под атакой и, как Perimeter Resilience, часто с ними контактирую. У меня очень хорошие впечатления сложились о службе в целом и об организации в частности. Было несколько таких интересных случаев, что можно детектив писать! Прямо готовый сценарий для А. Хейли
Это просто потому что вы "ниразу, никогда, вообще" не работали в нормальной компании, наверное.
я работал в двух банковских процессингах и крупных (ОЧЕНЬ крупных (не российских) корпорациях и учавствовал во внедрении и потом процессе аудита pci-dss
тут вопрос скорее в том что "нормальных компаний" можно по пальцам одной руки посчитать
У большинства людей, вообще очень странные отношения к ИБ, даже на хабре часто раньше проскакивали в комментах фразы "работодатель должен мне на рабочем компе предоставить админские права и вообще не позволю мониторить то что я там делаю" - эти фразы я горазд чаще слышал чем хотелось бы
Я лично наблюдал тест на проникновение, когда за 40 минут человек в переговорке попадал на сервер AD в офисе. при том что он (человек) не был подключен к корпоративной сети т.е. даже небыло гостевого вайфая. я с тех пор очень параноидально отношусь к настройкам ИБ и вообще к тому как это происходит и почему это важно. и за всё время я ниразу не сталкивался с тем чтобы меня хотябы просто поддерживали в этом стремлении.
Я постоянно вижу какието странные упражнения в стиле "с нас требуют отключить дефолтного админа в системе, ребят, давайте его переименуем в IvanovP...это зам гендира, он нихрена в ИТ не шарит но аудит это устроит что у него учетка с такими правами есть и будем всем отделом под ней ходить"... я блин таких вещей насмотрелся что иногда по ночам вскрикиываю, учитывая в сервисах какого уровня и ответственности они были... это блин не ООО ЦементоБетон где главная ценность список поставщиков с оборотом в 50млн в полугодие, это крупная финансовая корпорация...где целый ИТ отдель придумывает план чтобы неудобные сервисы выкинуть из скоупа ИБ чтобы "не заниматься никому не нужной ерундой" -- и это была точка зрения ВСЕХ чертвозьми сотрудников кто был замешан
ИБ в банках - это вообще отдельная тема для разговоров. 99 процентов отчетности, что все хорошо и оформления бумажек. А когда нужно сделать шак влево-вправо, то никто никогда это делать не будет.
так банк это бабки всетаки живые, во всех остальных сферах все гораздо хуже
меня в одной крупной американской компании где я отустаффом работали, сослали в бухгалтерию в другой департамент когда я "вероломно" отправил таску на согласование в ИБ и сорвал релиз фичи на двое суток...(вот же гад какой, сказано мне было, никому не говорим что у нас прямой ссылкой документы чужие доступны и все ок все довольны, а он решил безопасников спросить как так..)
а контора связана была с неким аналогом недо-ЭДО для США...вроде как бизнес критический сервис для клиентов компании...
Даже там, где к ИБ относятся серьезно на уровне менеджмента, действительно больше всего приходится бороться с котиками-ИТшниками, которые часто очень высокого о себе мнения и считают что политики ИБ (даже вменяемые, писанные кровью инцидентов) эято не для них. эхх..
ИТшники - это пол дела, с ними все таки можно договриться. Но ведь ИБ не компьютеры, операционные системы защищает, а информацию и бизнес-процессы. Вот с другими подразделениями действительно серьезные проблемы возникают (особенно с тем, кто считает, что за всю компанию бабки зарабатывает, а все остальные нахлебники).
Да, приходится. Внезапно, "котикам-ИТшникам" тоже нужно работать. И, желательно, без сбоев. А вот из-за умников-безопасников я уже не раз ловил аварии там, где их быть не могло. А просто потому, что безопасникам пришла "светлая" идея забрать временный доступ на продуктивном контуре. Или же, когда у меня с рабочей машины внезапно пропадает доступ к продуктивным базам. Вот буквально, вчера был, сегодня нет. И я полдня трачу на то, чтобы этот доступ вернуть.
Так что подумайте ещё раз, кто тут котики.
полностью поддерживаю, сам работал ИБшником)
Бывают нормальные, я встречал и работал с такими. И когда в лучших заветах «проекта феникс» требования анализировались с точки зрения бизнеса и митигирующих мер, в том числе смежных подразделений, а не «некогда объяснять, обновляй постгрю».
Но так же верно и то, что не каждый бизнес понимает зачем ему иб/кб и как с ними работать, и нанимает или по требованиям регуляторов/инвесторов или «чтоб у нас стало безопасненько».
В итоге сон разума рождает чудовищ, и безов, как бесполезных и/или вредных душнил :(
Очень нравится такое читать,когда прошел путь от админа до ИБ,если у вас иб приходит и что то узнает,значит сами ИБ не квалифицированы.
Могу рассказать как у меня всё наоборот,когда я вместо админов,ставил KSC,потому что у них он "лагает",а так же много другого ПО.Как через shift+пкм можно от другого пользователя запустить приложение,а не входить в систему под ним.И я прекрасно понимаю что мои админы не сильно квалифицированы,потому что молодые+за такие бабки не возьмешь гения.Так же и в Иб может быть,можно взять студента с вышки по иб и он будет ходить и руками разводить,что нужно сделать это и то,как -разбирайтесь сами,я вам тут не админ что бы программы устанавливать и вообще,у меня нет прав.
Насчет иб банковских,скажу так,не так уж и много специалистов,которые нормально разбираются в софте,там больше людей которые на бумажке могут написать что нужно сделать,а не закасав рукава будут делать это сами.
А есть примеры уголовных дел, заведенных на безопасников, которые похоже на подставные или как минимум где нет явной вины? А то в примерах из статьи госизменщик, школьник-шутник и "публицист" - к ним ко всем вопросы были по делу
Скорее всего имеются в виду безопаснисики, которые в КИИ и по Приказу 250. Но в первом случае больше всего привлекают руководителей организаций. Обычно там работают не настоящие безопасники, а пенсионеры "из бывших", а всю работу делают интеграторы.
В виду специфики дел, сложнодоказуемости для судейских, в реальных ситуациях будут разворачивать все побочные эффекты и последствия (финансовые, временные, управленческие) и их ставить в главу угла, и ещё, скорее всего будут определяться, насколько глубоко копать и кого ставить крайним на горох.
Имхо.
"Ненормированный рабочий график" - притянуто за уши. Если у тебя плохо с таймингом и самоуважением, то ненормированно ты будешь работать на любой работе.
"Частое отсутствие информации и «кейсов»" - хотелось бы увидеть реальные примеры. Если речь про РФ, то большинство вещей сейчас завязано на крупных вендорах. Не говоря про зарубежные фреймворки.
"Проблемы никогда не заканчиваются. А еще — большая часть из них не очень-то интересная" - логично, работа есть и её много. Да, не всегда веселая. Это точно минус? Приведите пример другой работы.
"Огромное количество регуляторов и нормативных актов" - соглашусь, без комментариев.
"Закон не на вашей стороне" - притянуто за уши. Если вы не продаете базы данных налево или не занимаете должность CISO, то ответственности у вас не больше чем у рядового сисадмина.
"Большая ответственность (за все)" - ну не за всё, а в рамках ваших должностных обязанностей.
"Постоянное обучение" - обучения не больше, чем у любого другого IT спеца.
Странный пост.
Наверное, подобное можно сказать в целом про IT)
ИБ оно большое как и IT. Есть разные направления, в разных направлениях свои плюсы и минусы. Скажу так - скорее не идти, чем идти
ИБ оно большое как и IT. Есть разные направления
Согласен
Есть и те кто просто ЭЦП-шки генерят да на USB - токены льют, и не парятся, от гудка до гудка, что называется.
И тоже, типа, "инфобез", пальцы веером... )))
Правда на любой нестандартщине - сливаются, например сделать серт извлекаемым, или (оу, это уже гуру уровень (нет) - сконвертить извлеченный серт и ключ в формат, отличный от долбаного [криво]криптопро, чтоб, к примеру, тот же openssl с ним работал нормально без костылей) )))))
Мораль - идите в редтим. )))
Специалист в области информационной безопасности - по сути это "и швец, и жнец, и на дуде игрец". Он должен быть не только многопрофильным ITшником, но и грамотным юристом; должен уметь разбираться в закупках/бюджетах, заниматься административно-хозяйственной и прочей неИБэшной деятельностью; должен уметь работать не только головой, но и руками.
Кому интересно чем, отчасти, должен заниматься ИБэшник, по мнению законодателей, я предлагаю посмотреть/почитать профстандарты:
06.030 - Специалист по защите информации в телекоммуникационных системах и сетях
06.032 - Специалист по безопасности компьютерных систем и сетей
06.033 - Специалист по защите информации в автоматизированных системах
А еще к инфобезу, оказывается, относятся сигналы и системы передачи данных. И вот там начинаются танцы с вышматом.
Делайте когтеточки, крутите шаурму, не идите в СБ?
Обычная ситуация для многих профессий. Все зависит от оценки сложности и адекватности оплаты. Многие ситуации вообще прописаны в трудовом кодексе и образцах трудовых договоров (и ночное время, и праздничные дни....остальное можно прописать по договоренности в трудовом договоре). Эффективность и правильность/сложность работы оценивается не с "нытья голословного" - "как сложно", а с правильной фиксации и отчетности проведенных работ. Для этого давно есть и тех задание, и планы работ, и документирование работ (как говорится - любые капризы работодателя/заказчика, за его деньги). Планы работ составляются, утверждаются, внеплановые работы оформляются заявками.
И да скилфактори...разве не запрещено рекламироваться и финансировать оплатой за рекламу инагентов и пособников укронацистов?
Что за двойные стандарты? То вы за развитие IT России, то финансируете врагов России. Зачем вам эта скорее антиреклама чем реклама?
Не становитесь безопасниками