Как говорится "тема не раскрыта".
Если тема "безопасник или нет Алексей Лукацкий?", то я уверенно скажу:"Да! Алексей, несомненно, безопасник. И, конечно же, настоящий". Другое дело, что не по каждому поводу в области защиты информации я бы обратился за советом к Алексею, но
своё дело Алексей знает туго и делает его исправно.
Предлагаю всем похлопать в сторону Алексея, эту тему закрыть и решительно осудить всех, кто своими репликами заставил Алексея писать "ЗЫ".
Вторая тема "какие специалисты нужны компаниям?". Она как раз и не раскрыта. Сначала ограничим тип компаний. Мы не говорим про компании, которые специализируются на информационной безопасности. Таким образом все разрабатывающие средства защиты, консультирующие, предлагающие аудит ИБ и прочее не входят в круг рассмотрения. Мы говорим только про простые организации разных форм собственности, для которых ИБ не предмет продажи, а одна из внутренних потребностей.
Я поработал, как сказал Алексей, с обоих сторон баррикад: и у интегратора и в организациях-потребителях. Мой опыт работы в обоих эпостасях подсказывает, что первое требование - это наличие выделенного безопасника(ов) в принципе. Один это человек или это целая служба зависит от размеров организации, её инфраструктуры и серьезности требований к защите информации в ней. Если безопасников несколько, то причина, на мой взгляд, прежде всего не в необходимости наличия смен для круглосуточного дежурства, а в различной специализации сотрудников. Не секрет, что десятиборцы стометровку бегают значительно хуже спринтеров и причина не только в том, что они менее талантливы в спринте, а в том, что прогрессировать одновременно в 10 областях также как в одной узкой области невозможно. Если у компании сложная инфраструктура, высокие требования по защите информации, то и требования к степени владения материалом по каждой конкретной области ИБ высоки. Отсюда наличе отдельного специалиста по периметру, отдельного по приложениям и т.д.
Конечно, не каждая компания имеет задачи и бюджет сопоставимые с Газпромом или держателем реестра акций. Понятно, что большинство компаний не смогут содержать команду безопасников, да и не нужен им штат, но я убежден, что выделенный сотрудник необходим. Вариант совмещения роли безопасника с админом, как зачастую в России делается, и как это предлагает Nero, могут себе позволить только те организации которым нечего бояться в бизнесе, если с их информацией или системами что-то будет не так. Админ, тем более, если он один, большую часть времени занят текучкой по поддержанию работоспособности, на ИБ у него достаточно времени нет. Руководство, которое решает сэкономить и доверить безопасность эникейщику слабо представляет, что должен делать безопасник, а админ, как правило, делает лишь то, что требует начальство. А начальство знает по журнальным статьям об антивирусах и иногда о труднопроизносимых фаерволах.
Да, есть пытливые умы среди лучших из админов, которые сами ответственно подходят к своей работе и при изучении мануалов не пролистывает разделы про безопасность, как лирические сцены в "Войне и мире". Беда только в том, что такой админ обычно сосредотачивается только на том из безопасности, что ему интересно.
Опыт приходит с ошибками. Когда я переходил из админов в чистые безопасники, то с энтузиазмом осваивал параметры запуска tcpdump и был по 16 часов в день занят другими главными для настоящего безопасниками вопросами. При этом ленты с бэкапами наиболее конфиденциальных данных лежали без всякого присмотра в нашем банке в комнате с доступом кучи айтишников, куда уборщица заходила свободно в любое время со своими ключами. Сейчас мне, конечно, стыдно за это, но сдается мне, что это общая беда. Поднимите руки все админы у которых ленты с конфиденциалкой помечены и лежат постоянно в закрываемом шкафу с действющим контролем доступа к ключу и стало быть к лентам. А у которых сейф несгораемый?
Сетевые вопросы мне были ближе, я их вылизывал не зная отдыха и периметровую защиту я сделал весьма неплохо для того уровня квалификации, который у меня тогда был, но всерьез заняться разграничением доступа во всех приложениях, где конфиденциальные сведения крутились мне было не досуг. Успокойте, технари, душу старого безопасника: у Вас давно оформлены требования руководства по разграничению доступа и эти требования воплощены во всех приложениях и на всех уровнях?
Много лет минуло с той поры и сам я не повторил бы этих ошибок сейчас:D , но сплошь и рядом вижу админов, которые в свободное от текучки время до блеска полируют любимые ими решения по ИБ в своей вотчине, при этом оставляя совершенно без внимания гораздо более важные для реального обеспечения информационной вопросы темы. Многое, конечно, зависит от упомянутого ранее мировоззрения, но, на мой взгляд, шансов на то, что выделенный безопасник найдет достаточно времени на то, чтобы обратить достаточное время всем вопросам обеспечения безопасности, прочтет всё что следует, пройдет трениг, наконец, гораздо больше, чем у админа в перерывах между заменами картриджей и латанием проблем в 1с.
После долго отступления на тему необходимости выделенного безопасника вернусь к вопросу о специализации.
Тут некоторые ретивые специалисты наседали на "бумажных безопасников". Не стану защищать теоретиков от безопасников, которые не владеют практическими вопросами и предлагают не работающие решения и требования(сам такой
), но в пользу бумажной работы для ИБ и необходимости специализации в ней пару слов скажу. Приходилось сталкиваться с организацией, где опора на инструкции была весьма высока, гарантии того, что не прописанное в официальной инструкции\положении будет исполняться не было никакой. Значение бумажек для обеспечения ИБ там было сильное. При этом бумаги выпускать могло только специальное подразделение, которое к ИБ никакого отношения не имело. Проблема была в том, что люди, писавшие инструкции, ИБ не понимали в принципе и объяснить им концепцию не удавалось. Вернее после часовых обсуждений концепции они уходили с просветленными лицами и обещанием описать как надо, но выдаваемый в последствии текст вызывал желание удавить их за тупость и саботаж. У ребят все было хорошо с языком, они владели всеми нужными инструментами, но ИБ в голове у них не было напрочь. То где безопаснику видны дыры и проблемы в ИБ, им представлялось, как нормальный процесс или формулировка. Толку от документов , что выдавали эти писатели было меньше чем вреда, а времени на этот плачевный результат уходило уйма. В итоге тексты в спешном порядке пришлось писать безопасникам. Проблема только в том, что многие реальные безопасники писать не умеют. То есть кратко для себя записать настройки - может быть, сделать текст с теми же настройками для другого специалиста в этом же продукте\теме уже с трудом, а написать для человека постороннего или нового в этой теме - вообще труба.
Когда я работал на стороне у интеграторов и надо было выдавать заказчикам на гора описания технических решений, то столкнулся с этим по полной программе. Если технических специалистов, которые в состоянии понять задачу и выработать решение ещё можно найти, то умеющих при этом записать своё же решение человеческим языком... Люди, которые в теме по ИБ, актуальным продуктам, да ещё и могущие написать внятный текст с учетом квалификации\уровня подготовки потенциального читателя документа идут на вес золота (я не о зарплате говорю, а о реальной ценности
). Кстати, люди уровня Алексея, которые в состоянии не только понять, но и объяснить проблему в области ИБ как технарю, так и человеку от бизнеса вообще уникальны.