Что должен выполнить в первую очередь специалист ИБ, приходя в новую организацию?

Question

[Дмитрий]

Доброго времени суток! Собственно, основная суть вопроса такова: на нынешнем месте работы нас в подразделении ИБ несколько человек: руководитель, 2 спеца технических, 1 специалист по защите данных (ведёт направление по работе с перс. данными + нормативку по ИБ). Здесь мои обязанности: управление KES\KSC, управление анти-спамом KSMG. Здесь у нас есть SOC, который присылает алерты в уже сформированном виде. Реагирование на них входит в мои обязанности (пойти к пользователю, проверить что либо\заблокировать URL на МСЭ через сетевиков и так далее).

Сейчас предложили позицию спеца по ИБ в другом месте (оффер на руках), где из ИБ я буду один сотрудник (но и сама Компания правда значительно меньше). Что придётся защищать в обозримом будущем: всю классическую инфраструктуру (рабочие станции, сервера, почту, каналы данных, 1С, какой-то самописный MES, микросервисную архитектуру т.к. есть кое-какая внутренняя разработка ПО). Из средств защиты на данный момент у них только антивирус (также KES, KSC) и фаервол, больше нет ничего. Вроде как запланировали с ними внедрение SOC и Max Patrol в этом году, но я не уверен, что у них хватит на это бюджета и он будет согласован. Так вот вопрос: чтобы вы в первую очередь сделали, придя в новую организацию по направлению ИБ? На что бы обратили внимание? Какие задачи поставили бы себе (нормативка, процессы, СЗИ и т.д.)?

Вопрос адресован в первую очередь ИБ специалистам\экспертам и руководителям. Принимаются любые конструктивные советы. Также если у кого-то вдруг возникнет желание неформально проконсультировать меня лично (в тех или иных вопросах), я буду этому рад. Естетсвенно, не бескорыстно (оплату обсудим). Так как опыта у меня маловато (чуть больше года в ИБ), по многим моментам есть пробелы в знаниях и может быть полезным менторство более опытных коллег.

Answer 1

[CityCat4]

Да как обычно...

Схема сети, расположение серверов, применяемое средство резервного копирования, доступ к файволлам/роутерам, сетевая документация - если конечно она есть :)

Все зависит от того, склько там юзеров, как построена сеть, был ли раньше ИБ-шник или Вы приходите на "пустое место". Многое также зависит от умения контролировать работу админов. Фактически ИБ-шник, когда он в единственном лице - это этакий "супер-админ", у него прав не меньше, чем у админов, а иногда и поболее будет.

Что там с виртуализацией, есть-нет, что используется, кто отвечает.
Почта, сайт, доменные имена - где, как , кто отвечает.
Собственный CA - есть, нет, нужен или нет, кто отвечает
Доступ в Интернет - контролируется или нет, нужно корнтролировать или нет, если есть , кто отвечает
СМП - есть, нет, нужен или нет. Внедрение СМП - штука весьма недешевая, так что инициатива должна идти сверху.
Грамотность пользователей в отношении фишинга в почте и прочих приемов (но обычно прилетает в почту)
Наличие и актуальность политики безопасности (она есть далеко не всегда, да и не всегда нужна на самом деле)
Удаленный доступ - есть, нет, как сделано
Лицензирование софта, импортозамещение, политические моменты - если хоть как раком-боком-попереком к КИИ, неизбежно столкнетесь

С админами не ссориться, особенно если админских знаний не хватает для контроля их работы.

Comments

[mayton2019]

С админами конечно ни в коем случае не ссориться. С ними надо вместе работать. В одной лодке как-бы.

И в приказном порядке многие вопросы не решаются. Нужно разговаривать. Убеждать.

[CityCat4]

С админами конечно ни в коем случае не ссориться. С ними надо вместе работать. В одной лодке как-бы.

Фактически да. Мы вот даже и сидим вместе, в одной комнате. Я конечно подозреваю тут расчет руководства :)

И в приказном порядке многие вопросы не решаются. Нужно разговаривать. Убеждать.

Разумеется. Да и не все вопросы имеет смысл выносить "наверх". Зачастую достаточно просто подойти и обьяснить, что было сделано не так и как делать "так". Не строить из себя Большого Строгого Начальника, стараться быть человеком, но при этом любые попытки проехать на тебе тут же жестко пресекать.

[Дмитрий]

Прихожу на новую позицию, ИБ сотрудника раньше не было. Знаний админских технических у меня очень мало. Разве что концептуально только по системам: что и для чего используется, но не более. Виртуализация точно есть. В штате ИТ-отдела всего 4 человека: сисадмин, сетевик, эникей и руководитель. Я буду пятым.

Почта, сайт, доменные имена - это всё соберу инфу, это не проблема. Моё условие нахождения там, что я буду интгрировать SOC, который будет мне сильно в помощь. Пока со мной согласились. СА и СМП не знакомые мне абберивиатуры, можете рассказать что это?
Сейчас уже точно знаю, что мне нужно будет разработать модель угроз через проведения внешнего аудита. Модель угроз это обязательный документ при проверках РКН, как мне сказал наш спец-т по защите перс. данных (при проверке РКН за это может быть штраф). А вот какие ещё документы по ИБ обязательно должны быть и за что могут наказать, этого я не знаю...

И ещё, как точно узнать, относится ли предприятие к КИИ? сможете подсказать?

[CityCat4]

В штате ИТ-отдела всего 4 человека: сисадмин, сетевик, эникей и руководитель. Я буду пятым.

Эммм... Будете подчиняться начальнику ИТ-отдела? Хм. Вторая странность. Видимо, все-таки должность не полноценного ИБ-шника, а некоего специалиста по безопасности в составе ИТ-отдела. Если так - значит будете заниматься тем, что определит начальник.

Просто обычно ИБ-шник подчиняется либо директору по безопасности, либо непосредственно генеральному но ни в коем случае не CIO и не начальнику ИТ-отдела. Просто по той причине, что он контролирует работу ИТ-отдела. Но непосредственного начальника Вы не сможете контролировать :)

СА и СМП не знакомые мне абберивиатуры, можете рассказать что это?

CA - Certificate Authority (Удостоверящий Центр) - предназначен для выпуска ssl-сертификатов. Внутри конторы обычно в ходу сертификаты для защиты почты, реже - сертификаты на устройства (сайты, vpn). Своевременный выпуск/переввыпуск, установка/переустановка и решение проблем с ними - рутинная, но постоянная часть работы (там где они есть)
СМП - Система Мониторинга Пользователей. StaffCop, Стахановец, SearchInform... Система, которая мониторит действия пользователя, накапливает данные об этом и позволяет получить кучу разных отчетов во множестве аспектов. Вставил юзер флэшку - алерт, запустил whatsapp - алерт, набрал "вася дурак" - алерт, масса настроек... Обычно никто не сидит, в оперативный мониторинг не пялится - скучно, все делает автоматика. Но проглядывать приходится, отчеты делать по запросам приходится...

И ещё, как точно узнать, относится ли предприятие к КИИ?

Если относитесь к добывающей или обрабатывающей промышленности - точно относится, в остальном - нужно читать нормативку. Но раз у вас заморочки с РКН, вы скорее к провайдерам относитесь или к чему-то этакому...

[shurshur]

CityCat4, там чаще всего вопросы на тему работы с персданными или оказание услуг каким-то сурьёзным конторам (банки, медицина итд).

[Дмитрий]

CityCat4,

Если так - значит будете заниматься тем, что определит начальник.

Да, это так, просто потому что здесь руководитель ИТ отвечает вообще за все ИТ-технологии (читай директор по ИТ). Про ИБ много не знает, но "хочет чтобы ИБ развивалось". Я взял за основу что есть у меня сейчас, с моим планом руководитель пока согласен. Дальше другой вопрос, утвердить под этот софт бюджет.

Это промышленное предприятия локального масштаба (1 завод). Есть конструкторское бюро, разрабатывающее чертежи (и у руководства есть потребность их защитить). Планировали под это дело закупить DLP (но у меня на предприятии его сейчас нет, я не работал с этим классом продукта, поэтому ничего сказать не могу).

Но раз у вас заморочки с РКН, вы скорее к провайдерам относитесь или к чему-то этакому...

Заморочек пока ещё нет, просто как я понял, любая компания где нанимают сотрудников (а значит обрабатывает их перс. данные) попадает под определение ИСПдН и её может проверить РКН. Разве не так?

[CityCat4]

Да, это так, просто потому что здесь руководитель ИТ отвечает вообще за все ИТ-технологии

Ну, это его задача - отвечать за ИТ-технологии. Но еще раз: ИТ и ИБ - разные дисциплины. Находясь в подчинении CIO, Вы не сможете проверять работу ИТ-отдела (потому что невозможно проверять работу системы, будучи ее частью).
Пример:
- вы обнаруживаете, что учетка юзера PiskinVasya активна, несмотря на то, что Василий Васильевич Пискин третьего дня был с почетом выпровожен на пенсию. Вы сообщаете о сем начальнику и... получаете распоряжение учетку не трогать, пароль не менять. Без обьяснения, зачем. Все, приехали.

Полноценно ИБ-шник может работать только находясь в подчинении кого угодно, только не CIO - обычно это либо CSO либо директор по общим вопросам (не знаю, кому он сопоставляется в C-level). Поэтому имейте это в виду, потому что возможно придется принимать решения, которые будут увеличивать работу админам или требовать чего-то дополнительного.

(и у руководства есть потребность их защитить).

Ну, я сразу накидаю несколько сценариев атаки :)
- утечка посредством отправки на стороннюю почту
- утечка посредством копирования на стороннюю карту памяти (или в телефон)
- утечка посредством копирования в стороннее облако
Все данные атаки предотвращаются установкой СМП, правда это дело очень затратное - Стахановец например уже по десятке за лицензию хочет, а нужно их по числу активных машин. Часть атак можно предотвратить, сделав выход только через прокси (что заодно сузит поверхность атаки против вирусяк, которые напрямую лезут к своим C&C).
Можно еще защитить их юридически, но для этого нужно полноценно запускать режим коммерческой тайны, а там все очень непросто.

любая компания где нанимают сотрудников (а значит обрабатывает их перс. данные) попадает под определение ИСПдН

Возможно, но это головняки хыра - иметь комплект документов по ПдН, Вам хватит чем заниматься :)

[Дмитрий]

имейте это в виду, потому что возможно придется принимать решения, которые будут увеличивать работу админам или требовать чего-то дополнительного

Я это понимаю. Озвучил команде перед трудоустройством. У них ещё куча ПО нелицензионного: винда, офис, veeam для бекапов якобы тоже... что-то ещё скорее всего. Это ведь тоже мой предстоящий головняк? Чем это может быть чревато для меня и Компании? Я пока не очень понимаю как это решить, если купить они весь этот софт больше не могут. из-за санкций.

это головняки хыра - иметь комплект документов по ПдН, Вам хватит чем заниматься :)

Ну, везде по разному, видимо. Даже у меня сейчас есть data protection expert и это его вотчина. Так что вполне вероятно, что моя в будущем тоже.

[ewgenc]

Если не понимаете чем чревато, наберитесь еще опыта на текущем месте (1 год в профессии это совсем не много) , с коллегами пообщайтесь поплотнее, изучите их работу. Не спешите в новое место, если нет полного понимания ситуации и нужных для работы компетенций.
Не забудьте про 550 часов переподготовки на ИБ, если нет профильного диплома.

[Дмитрий]

ewgenc,

Не забудьте про 550 часов переподготовки на ИБ, если нет профильного диплома

у меня диплом высшего по ИТ, этого многим организациям достаточно. В описании вакансии указывают: либо ИТ\либо ИБ образование. Да, где-то меня спрашивали про эти курсы 550 часов, а где-то вообще не нужно. + опыта в ИТ более уже 13 лет (в роли техподдержки в разных компаниях).

Если не понимаете чем чревато, наберитесь еще опыта на текущем месте (1 год в профессии это совсем не много)

Да это понятно, что так можно. Мои коллеги все на разных площадках и изучить их работу получится разве что поверхностно (пока сам не столкнёшься с теми или иными задачами). То есть тут можно ещё несколько лет просидеть и этого самого "полного понимания ситуации" не появится или появится отчасти.

[ewgenc]

Дмитрий, это для госов и прочих объектов КИИ думаю актуально, для коммерции может и без подойдет.

[CityCat4]

Это ведь тоже мой предстоящий головняк?

Лицензии на софт - обычно головняк ИТ-отдела, поскольку Вы "внутри" него - может быть и Ваш. У нас например лицензиями и закупкой оных занимается начальник ИТ-отдела, но у нас отдел меньше - руководитель, админ и эникей. Я ИТ не подчиняюсь, я подчиняюсь гендиру.

veeam для бекапов

Вот с бэкапами и их организацией нужно разобраться сразу - потому что и на старуху бывает проруха - к нам однажды шифровальщик на 1С сервер залетел :) Потеряли один день работы бухгалтерии :)

Чем это может быть чревато для меня и Компании?

Лицензия на винду бессрочная, но новая может не активироваться. Лицензии на офис не будут активироваться, раньше можно было покупать "коробки", сейчас и "коробки" не активируются, мы сейчас на маловажные места Офис 2007 ставим, лицензию. Если M$ перекрывает доступ к своим серверам лицензирования, то весь офис, работающий по подписке - превращается в тыкву.

Я пока не очень понимаю как это решить

Глобально - только заменой на LibreOffice, локально - либо извраты с коробками и старыми версиями, либо хач.

Не спешите в новое место, если нет полного понимания ситуации и нужных для работы компетенций.

Угу, я тоже так думал в 2006 году и считал себя охренительным знатоком FreeBSD. Когда же мне пришлось перейти на другое место, я быстро понял, что на самом деле я охренительный... дурак и лентяй и знаю очень немного. И надо сказать те два месяца, что я проработал на следующем месте - дали мне столько знаний, сколько примерно лет пять на пред-предыдущем.
Наши братья-китайцы говорят так "Дорога в тысячу ли начинается с первого шага"

[Дмитрий]

CityCat4,

Лицензии на софт - обычно головняк ИТ-отдела, поскольку Вы "внутри" него - может быть и Ваш.

Вот и я так подумал. Пока нет идей, как защититься и защитить контору от этого (при проверках, если они будут). Кроме как написать action-plan по процессу импортозамещения. )

Вот с бэкапами и их организацией нужно разобраться сразу

А можете поподробнее расписать здесь, что бы вы сделали на моём месте? Внедрить дополнительный способ бекап? Импортозаместить на отечественный? не понимаю, что конкретно нужно будет сделать...

[CityCat4]

Дмитрий,

Пока нет идей, как защититься и защитить контору

Пока - просто перепись всего, что есть и разнесение по группам - это купленое, это бесплатное, это пи..заимствованное и мысли на тему - как продлять купленое (если нуждается в продлении) и как и чем заменить пи..заимствованное.
Скажем конструкторский софт однозначно должен быть российский (если у вас есть КБ) - T-Flex, NanoCAD. C софтом конструкторов-электроников (Altium, IAR, OrCAD) - c ним сложнее, пока приходится купленым обходиться.
Офис - если лицензии по подписке, нужно иметь в виду, что завтра они могут перестать работать, если коробки, то регеные они будут работать, но новые региться не будут, тут только волевое решение перехода куда-нибудь.
И вот все эти соображения, оформленные в план, желательно с выкладками "че почем в рублях" - начальнику, пусть думает, у него зарплата здоровая :)

А можете поподробнее расписать здесь, что бы вы сделали на моём месте?

Необходимо уяснить - что бэкапит, куда бэкапит, как часто бэкапит, как восстанавливать, где бэкапы хранятся, кто туда имеет доступ, как все это физически друг с другом связано. Получить/восстановить доступ в морду управления бэкапами, буде таковая есть.
У нас например для бэкапов организована отдельная физическая сеть. В хосты, где надо повтыкали еще по сетевке, свели все к одному свитчу, подвели бэкапный сервер - бэкапы летят со свистом вечером, а утром улетают на резервный сервак.

[Дмитрий]

CityCat4, спасибо за пояснение, вполне доходчиво.

У нас например для бэкапов организована отдельная физическая сеть.

Да, тоже неплохо. А ещё была мысль с разнесением бекапов на "оперативные", которые прилетают по рассписанию и на бекапы уровня "critical", которые делаются реже, но с которых можно будет восстановиться, если будет совсем плохо (например, если зашифруют оперативные).

[CityCat4]

Дмитрий,

(например, если зашифруют оперативные).

У вас бэкапы на винде, что ли? Не, так можно... наверное... (примерно как ходить одному ночью по окраинному частному сектору). У нас бэкапы на линухе, в той сети где они единственная винда - это сфера (и то потому что на линух она не перенеслась, а руками меня заломало базу переносить) и у той сферы три локальных пользователя, которые могут на нее войти :)
Бэкапы нужно защищать все, целиком. Потерю например одного бизнес-дня бухгалтерия переживет, а вот двух-трех - уже начнет медленно поедать...

[Дмитрий]

CityCat4, есть какой-нибудь гайд, что конкртно нужно проверить\ выполнить по защите бекапов? Используется система Veeam.

[CityCat4]

Дмитрий, Гайд должен быть у тебя в голове :) У каждого свои условия и каждый решает задачи в меру их соответствия условиям.
Бэкапы должны:
- работать
- покрывать максимальное число машин
- охватывать некий период времени (не по одному переписываемому бэкапу!)
- быть восстанавливаемыми
- быть доступными минимальному числу людей

Answer 2

[Drno]

Обычно ИТшники и без ИБ знают что и как им надо делать, так что разве что бумажки, чтоб не забивать ИТшникам голову ерундой всякой...)
Это конечно при условии что они достаточно грамотные
Насчет внедрение SOC и Max Patrol - используйте опенсоурс софт, если нет денег на это. с учетом что скорее всего всё это есть в бесплатном варианте, может просто не так удобно

Comments

[Дмитрий]

Opensource софт нам не подходит, я уже это озвучил на новом месте. Opensource это в целом не бизнесовый подход. ПО для защиты должно быть коммерческим, с поддержкой, с сертификацией ФСТЭК и прочих регуляторов.

[Drno]

Дмитрий, ясно. ну тогда я умолкаю, всё что касается ФСТЭК это бесполезная трата денег....)

[shurshur]

Drno, зависит от того, чем контора занимается. Может оказаться, что там наоборот без сертификации ФСТЭК никто твои услуги не купит.

[Drno]

shurshur, ну я и говорю - я умолкаю т.к. такие конторы не люблю)

[Дмитрий]

shurshur, если бы я почувствовал, что здесь хотят закрыть инфру СЗИ опенсорс онли, то я бы не стал сюда устраиваться...

[Drno]

Дмитрий, если честно не вижу проблемы в опенсорсе, но да ладно...) деньги не мои так что как то пофигу

[shurshur]

Дмитрий, проблема не в том, чтобы софт был опенсурсным или проприетарным, а в том, для какой задачи какое решение подходит в конкретной ситуации.

И некоторые задачи опенсурсные решения закрывают очень даже хорошо. А некоторые - нет. В том числе это может зависеть и от размера конторы, и от объёма задач, и от объёмов трафика/rps. А ещё от наличия специалостов и их навыков, их загруженности, наличия у них дорогих коммерческих сертификатов по работе с решениями специальной формы.

Я имел дело с админами клиентов, у которых супер-пупер ngfw, в котором "ну совершенно точно разрешено", а при этом выяснить, почему не работает, они неделю не могут, потому что никаких внятных средств отладки и сколько-нибудь адекватных логов там нет. Ну, точнее, там что-то есть, но вот как пить дать в данной конкретной проблеме ничё подходящего, чтобы позволило разобраться, найти не могут. А в опенсурсных решениях прозрачная структура решения, так что можно тот же tcpdump запустить, если уж совсем ничего не удаётся увидеть.

[Дмитрий]

shurshur, видите ли в чём дело: у меня пока ещё не значительный навык работы в тулах и знаний не много (говорю как есть). Поэтому я хочу получить СЗИ с договорами на поддержку (хотя бы SOC\SIEM\ EDR). Хотелось бы также за денежку получить кого-то, кто может консультировать меня малоопытного (говорить как какой процесс выстроить, что конкретно сделать\проверить, если уже совсем простым языком).

Answer 3

[Komrus]

В отличии от ранее выссказавшихся коллег - я бы начал деятельность ИБшника с бумаг, с нормативки.
Прописать в бумаге и подписать у начальства - Вашу зону ответственности, за что отвечаете, за что - НЕТ.
Что должно обеспечить начальство, дабы Вы могли эффективно выполнять свои обязанности .(максимально утрируя - если не выделили компьютер, то работать специалисту по ИБ тяжеловато :)
Что Вы обязаны обеспечить.
Точно также, как работа инженера по технике безопасности все годы начиналась с заполнения журналов по этой самой ТБ...

Сугубо с точки зрения прокурора посмотреть на вопрос...
Если случилась беда (с ИТ / ИБ), пришла прокуратура - важно, что Вы не оказались крайним.

Comments

[CityCat4]

Прописать в бумаге и подписать у начальства - Вашу зону ответственности, за что отвечаете, за что - НЕТ.

Такая бумага уже есть и она называется Должностная Инструкция :)

Если случилась беда (с ИТ / ИБ), пришла прокуратура - важно, что Вы не оказались крайним.

Если вдруг пришли улыбчивые ребята с холодными сердцами - обычно кого дергают - директора, главбуха и админа (начальника отдела ИТ).
Вообще надо сказать - найм ИБ-шника со стороны несколько странное и рискованное мероприятие. Это человек, который будет иметь доступ ко всему и знать все (а иначе он работать не сможет). Брать на такое место кого-то построннего...

[Komrus]

CityCat4,
Должностная инструкция, зачастую, увы - очень уж обобщённая и формальная бумага...
ВОзможно, лучше её положения - уточнить.

Ну и в сторону сотрудников - тоже сугубо необходимо на такой должности журналы учёта завести и подписи получить :)

[CityCat4]

Komrus, Ну, как я уже говорил, сам по себе найм ИБ-шника со стороны - вещь довльно странная, там как минимум должно было быть собеседование с руководством о том, чем он будет заниматься, так что он по идее еще до приема на работу представлять, за что отвечает и чем будет заниматься.

[Drno]

Komrus, нафига тогда нужен ИБшник если он ни за что потом не отвечает.. для галочки? Как раз таки если уж берешься работать по такой профессии, то будь добр нести ответственность...

[Komrus]

Drno,
Почему "ни за не отвечает?". Я как раз и призываю сделать документ, в котором чётко прописано, за что именно он отвечает. А за что отвечают (сугубо в силы долностных полномочий) - другие люди.
И остальные инструкции, в которых прописаны обязанности этих "других людей". Дабы в случае инцидента ИБ можно было разбираться, основываясь не на "это же очевидно!", а на внутренней нормативке.

Answer 4

[Александр]

Сначала прочитай CIS Controls. ~170 пунктов конкретного плана действий.
В первую очередь инвентаризация активов.
Потом инвентаризация основных угроз - в первую очередь фишинг, периметр, что сможет ломануть негодяй попав внутрь, что будет если сгорит цод, зашифруют инфру, бэкапы. Как узнаешь что взломали?
Мониторинг событий ИБ. Без него ты слепой. Wazuh на всю инфру раскатай, если внешний мониторинг не оплатят. Простой у установке и очень эффективный инструмент. кучу инфы даст - события иб, безопасность настроек систем, уязвимости.
Нормативка в небольшой компании - последнее дело. Надо договариваться так, вначале точно. Если без нормативки не получиться (есть саботаж или сопротивление) и нет поддержки/заинтересованности в ИБ на самом высоком уровне - беги оттуда.

Comments

[Дмитрий]

Спасибо за хороший комментарий, обзятельно ознакомлюсь с планом действий. Ещё такой вопрос, если всё таки произошла реальная атака (даже не смотря на установленные СЗИ) и нанесла ущерб компании в ощутимую сумму, то какие последствия могут быть для специалиста ИБ? Условно, может ли компания подать на него судебный иск о возмещении такого ущерба? Или обычно всё кончается максимум увольнением? (понятно, что тут скорее всего надо смотреть от конкретного случая, что за компания и что произошло, но всё равно в общих чертах хотелось бы понимать, что может грозить). Сталкивались ли вы с чем-то подобным или может быть видели на чужом примере?

[Александр]

Не о том думаешь. Ты начинаешь ИБ с нуля. Даже если до тебя там был безопасник. Т.е. с самого рождения компании они копили техдолг по ИБ. Ты просто делаешь свое дело. Никто тебя не привлечен, если ты специально не гадил :-) А так все твои действия будут направлены на повышение уровня ИБ. Тут вопрос в том что делать в первую очередь, что во вторую. Чем опытнее безопасник тем точнее он сделает выбор. Они взяли тебя, начинающего, на невысокую ЗП, а не привлекли крутую контору за 100500 тыш денег. Это их выбор. Они готовы учится ИБ вместе с тобой, оплачивать твоими решениями будущие взломы :-). В общем, если нет злого умысла, то все ок. НО, если ты попал в госуху или в компанию зарегулированную (КИИ, гособоронзаказ и т.д.), то тогда алгоритм, который предложил Komrus - стелить соломку, т.к. когда случится взлом, придут специальные "люди" и им нужен будет крайний и ты ТОЧНО им станешь. Поэтому, для старта надо избегать таких компаний, если ты действительно хочешь получать опыт в ИБ и развиваться, а не писать неработающие политики и инструкции.

[Дмитрий]

Александр,

Они взяли тебя, начинающего, на невысокую ЗП, а не привлекли крутую контору за 100500 тыш денег.

Ну, для моего региона (Приволсжкий) ЗП предложили по моим меркам хорошую (шестизначную сумму). На текущем месте столько даже близко не получаю, но и нет такой зоны ответственности всеобъемлющей. Я пока туда ещё не устроился, я ещё пока на распутье (уходить или оставаться). Уходить из более крупной компании (10 заводов) в куда менее крупную (1 локальный завод). И да: и нынешнее место и куда позвали - промышленное предприятие, производство (АСУ-ТП).

НО, если ты попал в госуху или в компанию зарегулированную (КИИ, гособоронзаказ и т.д.)

Нет, это не гос. структура и не оборонка. В такие места я бы не стал соваться априори. Но на предстоящем месте головняков тоже будет полно: есть внутренняя разработка ПО (микросервисы, docker, CI\CD), нелицензионное ПО чуть ли не всё (как они сами говорят)... ну это то что я только пока знаю.

[Александр]

Мне кажется надо голосом. Стукнись в телегу по нику.

Answer 5

[Дмитрий]

Ещё такой вопрос: если всё таки произошла реальная атака (даже не смотря на установленные СЗИ) и нанесла ущерб компании в ощутимую сумму, то какие последствия могут быть для специалиста ИБ? Условно, может ли компания подать на него судебный иск о возмещении такого ущерба? Или обычно всё кончается максимум увольнением? (понятно, что тут скорее всего надо смотреть от конкретного случая, что за компания и что произошло, но всё равно в общих чертах хотелось бы понимать, что может грозить). Сталкивались ли вы с чем-то подобным или может быть видели на чужом примере?

Comments

[Pavelsha]

Тебе же выше написали. Будет то, что написано в Должностных инструкциях и трудовом договоре.

Уголовные последствия наверное, только в случае гос тайны.

Материальная ответственность... Для ИБ-шника. Это ещё грамотно прописать в ЛНД надо. ТК в любом случае на стороне работника.

А личные штрафы от проверяющих органов нормальный работодатель компенсирует премией. Потому что альтернатива этому часто - остановка бизнеса.