Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 ... 3 4 5 6 7 След.
RSS
Кто такой «настоящий безопасник»?
 
2 offtopic: "И большие начальники просто говорят - к нему - низзя. И их тоже можно понять, слишком большие бабки там вертятся. "
То есть старый принцип работает: пусть там будет как угодно плохо и я об этом не буду знать, чем рискнем подпустить к проверкам.  Они опасаются, что Вы положите систему?

"Это не к нам. Мы не фантазеры. "
Ну, я же Илью подколол, а не всех.  Ишь, как стеной сразу встали!

А про БД?

"ЗЫ. Все делается для себя, на общественных началах, поэтому - долго. "
А согласовать планы исследований-публикаций с заданной руководством деятельностью отдела маркетинга?
 
Цитата
Вадим Андреев пишет:
То есть старый принцип работает: пусть там будет как угодно плохо и я об этом не буду знать, чем рискнем подпустить к проверкам.

Ещё как. Ведь если всё плохо - это же будет отражено в отчете.

Цитата

Они опасаются, что Вы положите систему?

И этот фактор работает. В любой методике есть пункты о возможных проблемах при тестировании. Иногда серверы ложаться просто от пары сотен "TCP сессий" nmap'а :-)

Цитата
Вадим Андреев пишет:
А про БД?

Как будет с загрузкой. Надо много думать над методиками. Я сейчас "увлекаюсь" Web'ом, Владимир - сетевыми.

Цитата
Вадим Андреев пишет:
заданной руководством деятельностью отдела маркетинга

Нам проще - его в УЦ нет :-)))

Все что делается по заказу "большой" Информзащиты становится её собственностью, и что там будет опубликовано, что нет - реашет руководство. а что делается для себя - то твое и сам решаешь, что с этим делать.
 
Все обсуждение сводится к сканерам.   :)
Что-то автора не видно.  :?:

Люди так кто же безопасник?!  :help:
Мне диплом писать надо по психологии.  :help:
 
Цитата
Гость пишет:
Люди так кто же безопасник?!
Мне диплом писать надо по психологии.

Информационные войны, PR, манипуляции, социопсихология и т.д. и т.п. - это тоже информационная безопасность. Т.ч. IMO смените тему диплома...
 
Цитата
offtopic пишет:
Как будет с загрузкой. Надо много думать над методиками. Я сейчас "увлекаюсь" Web'ом, Владимир - сетевыми.

 У Кати спросите - она же AppSec'овскими решениями занимается.

Цитата
offtopic пишет:
Нам проще - его в УЦ нет

 Вот София "обрадовалась" ;-)

Цитата
offtopic пишет:
а что делается для себя - то твое и сам решаешь, что с этим делать.

 Сергей, я тебя разочарую. На все, что ты подписываешь своим именем, распространяются авторские права. Неимущественные - твои, имущественные - УЦ. Я тоже думал, что мои статьи принадлежат только мне. При уходе мне сказали, что писал я статьи во время работы в ИЗ, а значит статьи принадлежат ей. Поэтому на сайте до сих пор висят мои статьи.

А вот статьи под псевдонимом принадлежат только тебе ;-)  Если кто-то потом не выпустит статью под этим же псевдонимом. И потом доказывай, кто из вас offtopic ;-)
Luka
 
2 Вадим
кто то что то лучше знает, кто то хуже (задели просто...  ccsi).
объясните мне плиз,  зачем мне нужен cissp  если моя контора не реселлер, и не занимается аудитом без-ти ?


з.ы.  неффтемму. сорри.
 
Вадим, Алексей, гость, Toparenk0,  

все  равно рад вас слышать =)))
 
Владимир, Сергей - респект..
постигаю...
 
кстати,,,  взгляд на ситуацию (по мере поступаемого антибиотика + алкоголя в кровь)
на мой  взгляд  _ИТ_ секурити можно разделить на 3 вида (поправьте если ошибусь):

технари - люди обладающие узкими познаниями в какой либо области защиты инф. тех.  (циска пикс, чекпоинт, иса,  идс, антивирь, и тд.)

манагеры проекта - опытные парни, умеющие _грамотно_ поставить задачу  

и

ребята (не знаю как назвать) которые умеют все подогнать под какой либо стандарт (исо 9000 например)

грипп - голимо....

вроде все....

асикью: 639334
 
поправка: знаю как назвать - аналитики =)))))))) или аудиторы =))
 
а на улице метель.....
 
Цитата
q8nM72 пишет:
И еще безопасник должен быть НАМНОГО профессиональнее админа, потому что это будет естественная реакция человека который сидит конфигурирует скажем ту же ису, а ему подходит сотрудник ИБ и говорит, ты делаешь не верно, при этом САМ не может настроить лучше или нормально объяснить, не абстрактно, что именно не верно. Я к такому человеку не буду питать уважения, то есть тут играет роль еще его авторитет и знания в области соприкосновения знания админов и ИБ.
Насчет НАМНОГО, по-поему, в корне не верно. Да и в чем профессонализм измерить? В килограммах, метрах, других единицах СИ?
Не нужно путать. Специалист по ИБ ставит задачу (в терминах отечественных нормативных актов - разрабатывает профль защиты и/или задание). Сетевой администратор - воплощает требования профиля в части сетевой безопасности в правла для того же МСЭ. Многие стандарты по обеспечению ИБ сходятся во мнении, что должен быть еще третий этап - контроль. Теоретически, его может выполнить тот же человек, который ставил задачу. Думается, контроль должен заключаться отнюдь не в проверке синтаксиса правил МСЭ (скажите-ка, многие ли из вас смогут провести аудит кода какого-либо приложения, а ведь защита от переполнения или отсутствие недокументированных возможностей в каком-то смысле тоже элементы ИБ)...
Ключевые слова. И специалист по ИБ и сетевой администратор - специалисты, которые несут ответственность за качество выполняемой ими работы. Если кто-то из них не справляется, имеет смысл поискать другую работу. Говорить о том, что один должен быть НАМНОГО квалифицированней имеет смысл ... не знаю... только если админ - нанятый в целях экономии студент третьего курса. Но это совсем другой вопрос.
 
2 Гость: "объясните мне плиз, зачем мне нужен cissp если моя контора не реселлер, и не занимается аудитом без-ти "
Посмотрим на это со стороны нанимателя.  Компания решила (по следам публикаций в журналах) решить у себя вопросы защиты информации.  Надо взять человека.  На основании чего производить выбор человека, как убедиться в том, что придет полноценный специалист, а не просто румяный парень, который на собеседовании произведет положительное впечатление и выпалит кучу технических терминов?  Знает он на самом деле все о чем говорит или просто статью в метро прочитал, все ли он знает, что нужно нанемателю же не определить.  На мой взгляд, сертификат для того и нужен, чтобы формально подтверждать наличие минимальной подготовки в этой области, позволяющей пройти экзамены.  Причем, если говорим про CISSP, то не в одной узкой области, а в широком наборе вопросов обеспечения информационной безопасности.  Если ИБ только предстоит налаживать в фирме, то требования к кругозору безопасника особо актуальны.

Тебе, как игроку на рынке труда, иметь сертификат имеет смысл, если ты приведенные выше теоритические выкладки не имеющие отношения к реальным процессам приема людей в России в непрофильные компании, принимаешь всерьез.

В качестве утешения скажу, что мне лично сама подготовка к экзамену помогла обратить внимание на ряд тем, до которых руки не доходили или которые не считал выжными, и которыми приходится заниматься теперь.  Так что о неделе подготовки и 400 долларов не жалею.
 
CISSP - много шума из ничего.
Все требования - формальные, сертификация - абсолютно бумажная.
 
Цитата
Илья пишет:
на мой взгляд _ИТ_ секурити можно разделить на 3 вида (поправьте если ошибусь):

технари - люди обладающие узкими познаниями в какой либо области защиты инф. тех. (циска пикс, чекпоинт, иса, идс, антивирь, и тд.)

манагеры проекта - опытные парни, умеющие _грамотно_ поставить задачу

и

ребята (не знаю как назвать) которые умеют все подогнать под какой либо стандарт (исо 9000 например)

поправка: знаю как назвать - аналитики =)))))))) или аудиторы =))
Как вариант (хотя и не бесспорный) для IT-security, хотя многие позиции характерны и для всех областей безопасности:
1 - специалисты узкого профиля, которые досконально знают один или несколько продуктов
2 - интеграторы - постановщики задач, которые знают как это должно работать и чем можно реализовать. Могут знать недосконально продукты и нормативы, но их общие принципы и алгоритмы будут знать обязательно
3 - управленцы - умеют хорошо организовать работу других специалистов, хотя могут знать только общие принципы системы защиты
4 - аналитики - хорошо знают принципы защиты, нормативы и уязвимости. Способны сделать грамотный анализ рисков для объекта защиты и предложить способы минимизации этих рисков
5 - аудиторы - хорошо знают реализации систем и их слабые стороны, способны выделить основные бизнес-процессы
6 - специалисты совмещающие в себе несколько позиций
 
2 Гость: "CISSP - много шума из ничего.
Все требования - формальные, сертификация - абсолютно бумажная. "
Тема старая и постоянно перетираемая.  Если Вы от рождения знали всё, что нужно для сдачи их экзамена - рад за Вас.  У меня базовая подготовка была слабее.  Скажем, лет шесть назад я бы экзамен сходу не прошел.  Речь не в том, что экзамен хоть сколько-нибудь сложен технически или требует детальных знаний по конкретным продуктам, а в том, что рассматривают "все" вопросы информационной безопасности.  Модные и доступные  :D 6 лет назад брэйнбенчи я щелкал тогда с легкостью, а CISSP бы не сдал.  Не уверен, что это только мои пробелы в образовании.

Другой вопрос : всем ли безопасникам нужен CISSP?

На мой взгляд, если специалист не стремится управлять информационной безопасностью компании, а только специализироваться на определенной теме и работать в составе подразделения ИБ, то ему широкий кругозор не так и нужен.  Действительно, если Вы, например, спец по сетевой безопасности, над Вами есть CISO (или руководитель проекта у интегратора), который закрывает все остальные вопросы, то с тебя требуется только знание одной из десяти тем, которые входят в CISSP, но зато доскональное.  И сертификаты Вам нужны совсем другие.
Смысл у тех и других сертификатов один - формальное подтверждение минимальной квалификации.  Специализированные подтверждают квалификацию исполнителя в узкой области, комплексные (как CISSP) в общем понимании широкого круга вопросов ИБ.  Соответственно и роли, для которых требуются эти сертификаты разнятся.

Если Вам ближе углубиться в узкую сферу и не отвлекаться на другие темы - CISSP и требующие его должности не для Вас.  Если Вы претендуете на то, что обеспечите комплексную защиту информации компании, в которую устраиваетесь, то я бы нанимателю порекомендовал выставить CISSP в качестве одного из необходимых условий, а Вам такую бумажку иметь на готове.
 
Простите, не расписался в предыдущем посте про CISSP
 
Вадми, вы же сами сказали - что на подготовку к сиспу у вас (после брейдампов, видимо) ушло цеелая неделя.
 
2 Гость:"Вадми, вы же сами сказали - что на подготовку к сиспу у вас (после брейдампов, видимо) ушло цеелая неделя. "
Читаете внимательно, но не вдумчиво  :D .  Да, на то, чтобы прочитать толстый препгайд ушла неделя, но с тех пор как я наделал себе брэйнбенчей прошло 6 лет, в течении которых я набрался опыта, понаделал и оценил ошибки, в которых признался выше, поработал под руководством специалистов, которые на голову меня квалифицированней, проекты определенной сложности выполнил.  После таких 6 лет сдача экзамена была для меня подтверждением имевшейся к тому времени квалификации, а до того, как прошел этот путь его бы не сдал.
 
Цитата
Гость пишет:
Если Вы претендуете на то, что обеспечите комплексную защиту информации компании, в которую устраиваетесь, то я бы нанимателю порекомендовал выставить CISSP в качестве одного из необходимых условий, а Вам такую бумажку иметь на готове.
Т.е. Вы считаете, что  человек, сдавший CISSP  (вполне вероятно не имеющий другого образования кроме курсов по подготовке к сертификации) и не имеющий никакого опыта работы, лучше справится с обеспечением комплексной (именно комплексной) защиты информации лучше чем специалист с 5-10-20 летним опытом практической работы (и возможно профильным высшим образованием), но не имеющем именно данный сертификат (а может и не заморачивающийся вообще получением сретификатов)?!?
Страницы: Пред. 1 ... 3 4 5 6 7 След.
Читают тему