Информационная безопасность и защита информации на предприятии

Информационная безопасность и защита информации на предприятии

Life-Hack

Приветствую всех!


Дисклеймер: тут возникла небольшая потребность восполнить пробелы по профориентации посетителей форума, решил помочь в силу своих возможностей, статья не является истиной в последней инстанции, так что попрошу дополнить тему людей с опытом работы в сфере защиты информации/штатных пентестеров и т.д. Статья может показаться получится скучноватой из-за ФЗ и ГОСТов, но тут ничего не поделать.


Тема информационной безопасности (далее - ИБ) достаточно популярна сегодня в медийном пространстве. Многие изучают данную область знаний в качестве любителей, что прекрасно. В Сети регулярно появляются вопросы «Как и с чего начать свой путь в ИБ?» и т.д. Иногда задают более умные вопросы: «А какое направление выбрать»? Собственно, ответ на последний вопрос каждый должен дать сам себе, ознакомившись с основными направлениями ИБ/IT.


Так же люди, занимающиеся ИБ в качестве хобби спрашивают, как им «вкатиться» в практическую ИБ, перестать быть «киддисами» и т.д. И на предыдущий вопрос им обычно отвечают тролли от IT/ИБ, генерируя список знаний, который не каждый супермен осилит. Некоторые всерьез советуют какие-то сферические списки в вакууме (плод больного воображения). В общем диагноз не утешительный.


Так вот все эти «списки» полнейшая чушь от людей с завышенным ЧСВ или неадекватно воспринимающих реальность (что в общем то одно и тоже). Спорить с ними я не намерен, и попрошу их не отравлять своими навязчивыми идеями данную тему.


Итак, Вы хотите разобраться в сфере ИБ. Это самое обычная профессия/хобби. Вот тут надо определиться сразу что Вам нужно, если речь идет о занятиях для себя, тот тут конечно можно заниматься чем и, как угодно, изучать все подряд и т.д. Когда же мы говорим не просто о желании зарабатывать, но и о получении квалификации и компетентности в данной области, то без сомнения нужен системный подход.


Просто взять и изучить ИБ с 0 нельзя. Нужна определенная база знаний в IT. Что именно зависит от выбранной специализации, так что тут тоже нужно самостоятельно подумать головой. Единственные два навыка, которые нужны почти всегда – это умение читать техническую литературу на английском и навыки продвинутого пользователя ПК (можно начать с этого).


Согласно ГОСТ Р 53114-2008 безопасность информации [данных] - это состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. Вот этим и придется заниматься на предприятии. И говорить сегодня именно с точки зрения штатного ИБшника (инжинера или техника) в одной из компаний, а не про сотрудника профильных организаций, занимающихся безопасностью.


Повторюсь, будет уделено внимание НПА, так как без знания законодательства Вас просто, кхм… повесить могут много всего в общем))

Spoiler: Берем из ГОСТ Р 50922-2006 несколько терминов:

1) правовая защита информации: защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов…

2) техническая защита информации: защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством…

3) криптографическая защита информации: защита информации с помощью ее криптографического преобразования…

4) физическая защита информации: защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения…


При выборе направления можно плясать от этих 4 терминов, но на практике в коммерческих компаниях, которые не могут позволить себе большой штат, как минимум 3 из них приходится совмещать (документы, СЗИ, крипта), охрана физического периметра отдельная епархия, обычно на аутсорсе.


Так же стоит ознакомиться с 149 ФЗ "Об информации, информационных технологиях и о защите информации" (статья 16) и руководящими документами ФСТЭК.


Тут мы плавно подошли к другой интересной теме – это, конечно же ориентация на коммерческий сектор, государственные структуры или военные. На выбор может повлиять наличие ограничений по части туризма в некоторых структурах. Так же разные условия труда оплата, льготы и т.д.

Spoiler: Если вернуться к ГОСТ 50922-2006, то можно разделить ИБ на несколько направлений:

  • правовое обеспечение ИБ;
  • работа администратором/техником СЗИ;
  • работа в области инженерно-технической ЗИ на объектах;
  • противодействие техническим разведкам:
  • информационная безопасность телекоммуникационных систем
  • информационная безопасность автоматизированных систем
  • информационно-аналитические системы безопасности
  • компьютерная безопасность;

Эти направления деятельности иногда пересекаются, но в основном (в теории и в ВУЗах) четко выраженные, например, противодействие тех. разведкам, работа в области инженерно-технической ЗИ на объектах. Думаю, излишне говорить, что данные специальности в первую очередь ориентированы для подготовки военных специалистов. ИБ АС (6) относится к АСУ ТП (промышленные предприятия), ИБ ТС (5) это инфокоммуникационные сети – телефония, ЛВС, ГВС и т.д. В КБ (8) идет упор на программирование. Правовое обеспечение в той или иной степени есть почти везде (работа с НПА).


Но тут не все так просто, если посмотреть на рынок труда, то мы увидим, что требуются:


1) Самая часто встречающаяся формулировка, это «Главный специалист/эксперт по ИБ», вот основные должностные обязанности:

Spoiler

Участие в проектной деятельности и в проведении анализа существующей инфраструктуры, разработка предложений по модернизации.

Контроль функционирования антивирусной системы. Реагирование на инциденты.

Аудит выполнения требования политик, регламентов информационной безопасности, подготовка отчетов. Технический аудит.

Аудит соответствия предоставленных доступов к информационным активам (в соответствии с заявками).

Проведение расследований инцидентов по информационной безопасности.

Контроль функционирования средств защиты информации

Участие в технических и организационных мероприятиях по защите коммерческой тайны


2) Теперь взглянем на обязанности специалиста по ИБ в области сертификации ПО:

Spoiler

Участие в консультациях заказчиков и формировании коммерческих предложений (Совместно с отделом продаж).

Оценка объектов испытаний перед проведением сертификации.

Помощь заказчикам в оформлении программной документации по ГОСТ ЕСПД/ЕСКД.

Разворачивание стендов испытаний.

Проведение испытаний.

Оформление отчетных материалов.

Взаимодействие с заказчиками и со ФСТЭК России.

Периодическая отчетность руководителю проектов.


3)Требования к простому специалисту по ИБ:

Spoiler

организация процессов по защите персональных данных в компании, в том числе построение моделей угроз;

принятие мер по организации режима коммерческой тайны;

организация хранения данных;

разработка нормативно-распорядительных документов в области защиты коммерческой тайны и персональных данных и поддержание их в актуальном состоянии;

разработка нормативно-распорядительных документов в области взаимодействие с регуляторами по вопросам организации защиты персональных данных (ФСТЭК, Роскомнадор);

инструктаж работников по информационной безопасности при приеме на работу;

консультирование и обучение сотрудников по информационной безопасности.


Эти требования взяты из вакансий коммерческих организаций/гос. контор.

На основании анализа этих требований можно выбрать себе направление деятельности. Если проанализировать названия вакансий и должностей, то можно увидеть, что редки вакансии специалиста по инженерно-технической ЗИ, борьбе с иностранными разведками, работу в этой области обеспечивают соотв. военные организации.


Резюмируя можно сказать, что в гражданском сегменте рынка труда присутствуют такие требования:

Spoiler

Знание НПА и разработка НРД

Организация мер по защите коммерческой тайны и персональных данных

Умение работать с со средствами ЗИ, в т.ч. криптографическими

Умение проводить обследования и аудит ИБ по различным нормативным требованиями и стандартам

Работа с персоналом предприятия

Выявление и расследование инцидентов ИБ


Вот эти требования предъявляют работодатели к сотрудникам на предприятии, а не умение писать стиллеры на C#, ломать соседский WiFi изощренными способами, открывать наручники и разные замки и т.д. Все это интересно, но все же надо ориентироваться на реальность, так как человек, умеющий все вышеперечисленное может оказаться не обученным работать с СЗИ от НСД, защищать периметр сети и т.д.


Некоторое документы, которые нужно составить на предприятии:

Spoiler

  • свою должностную инструкцию (при отсутствии)
  • перечень ИС и инф. огран. дост
  • перечень лиц, допущ. к обраб. инф
  • приказ об назнач. ответств. за ЗИ
  • правила обращ. с машинн. носит. инф
  • инструкция по антивир. защ
  • инструкция по организ. парольн. защ
  • приказ об обеспечен. мер по ЗИ
  • и т.д.

При выборе различных направлений по ИБ/учебного заведения надо понимать, что в большинстве случаев Вас ждет вакансия обычного специалиста по ИБ в лучшем случае, так как сейчас я не наблюдаю спроса на молодых специалистов в этой области, нужно на всякий случай иметь еще профили – программирование, администрирование сетей и т.д.


По поводу детального описания КБ от ИБ, ИБ ТС от ИБ АС и прочего много информации в гугле, например, остальная теория здесь (не вижу смысла копипастить это море сюда). Естественно подробности про защиту АСУ ТП, спец. обследование помещений, поиска закладок, работу с нелинейником рассказывать никто не будет, для этого надо идти на обучение. Имеющейся информации достаточно для выбора направления обучения. Можно использовать документы ВУЗов для понимания того, что должен уметь специалист, однако с поправкой на рынок труда. Источник

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org