Кто занимался информационной безопасностью?

Question

[random]

Здравствуйте, я учусь на 2 курсе и устроился на работу в компанию, которая занимается информационной безопасностью(это мой первый опыт). В основном они пишут на Java. Хотелось бы узнать, как работать в подобных компаниях, и поделитесь своим опытом. Что изучали, сколько времени уделяли на изучение, какие книги читали. Любому комментарию, буду рад.

Answer 1

[Максим Кудрявцев]

Я хз в какую ты там контору устроился, которая даже ПИШЕТ КОД!!!!
Я сам учился 5 лет на ИБ, работал около 1.5 лет по специальности. В РФ ИБ по большей части сводится к защите персональных данных, т.к. 152-ФЗ обязал защищать ПДн всех.
Здесь ситуация такая: есть ряд документов от регуляторов + список сертифицированного ПО. Ты по нормативным документам определяешь класс системы, смотришь какие угрозы из перечня для тебя актуальны и под них покупаешь ПО из списка. Настройка делается по инструкции, там ничего сложного.
На этом заканчивалось 90% моей работы.
На остальные 10% приходилось копаться с настройках общесерверного ПО(типа IIS и т.д.).

Comments

[Sanes]

А почему контора не должна писать код? Может у них как раз сертифицированное ПО или не требует сертификации.

[random]

Там, где я устроился точно пишут код, правда я еще не проработал, ни одного дня. Пока собираю документы, как закончу приступлю к работе.

Answer 2

[xseven]

На данный момент ничего сказать нельзя так как вы ничего конкретного не пояснили.

Одно из популярных направлений разработка систем защищенных соединений для передачи данных например на основе vpn.
Создание ГСЧ на основе биологических данных.
Может быть создание "песочниц" для безопасного запуска приложений и т.д.
В общем код пишется и его хватает в РФ.
В связи с этим удивлен предыдущим ответом.

По теме, автор сначала рзаберитесь, что будет входить в круг ваших обязанностей.

Comments

[xseven]

Прокомментирую сам себя. Один из примеров например habrahabr.ru/users/milabs прочитайте его статьи это одно из направлений написания кода в ИБ. Сам автор работал в области ИБ.

[random]

Спасибо, завтра иду на работу. Попробую что-нибудь выяснить))

Answer 3

[random]

В основном мы занимаемся Public Key Infrastructure(PKI). Кто-нибудь занимался этим, и писал на Java?

Answer 4

[Vadim Kurytski]

Я конечно утверждать не буду, но раз контора разрабатывает ПО для реализации PKI, то писать нужно будет программы которые будут вычислять (если можно так выразиться) ЭЦП у пользователей или еще где-нибудь. Полагаю что нужно будет изучить стандарты, которые устанавливают алгоритмы и процедуры вычисления значения функции хэширования, которые применяются в криптографических методах обработки и защиты информации,
в том числе для электронной цифровой подписи при передаче, обработке и хранении информации.

П.С. Хотя на работе сегодня расскажут)

Comments

[random]

А можно ссылочку на всякие ресурсы, где про эти алгоритмы можно прочитать.

Answer 5

[Вячеслав Смирнов]

Раз PKI и Java, то изучите предметную область по этой теме (когда начнёте отличать сертификат от закрытого ключа и от подписи - уже прониклись темой, начало положено), также BouncyCastle изучите и OpenSSL.

Не повредит заглянуть внутрь ASN.1, посмотреть что внутри CMS-контейнера, OCSP-запроса и ответа, подписи, штампа времени, ...
www.codeproject.com/Articles/4910/ASN-Editor - нормальный продукт, но не дружит с кириллицей и юникодом.
lapo.it/asn1js - инструмент получше, как научить его видеть недостающие OID-ы легко разберётесь.

Поработайте с конкретными реализациями инструментов, что сертифицированы в нашей стране. Разверните/перенастройте/удалите УЦ от КриптоПро раз пять. И вы будете по опыту в PKI на пол головы выше остальных. Сделайте тоже самое на базе Microsoft Server, поймёте в чем отличия. Попробуйте сделать так, чтобы оболочка была от Microsoft Server, а криптопровайдер от КриптоПро, или ЛИССИ, или VipNET.

Очень интересная тема - работа клиентской части инфраструктуры PKI на Android, спрос есть.

Считаю, что чтобы начать грамотно разбираться в PKI для Linux и Android надо сначала заложить основы, работая под Windows.

Comments

[random]

Большое спасибо

Answer 6

[Сергей]

Работал сам в защите гос. тайны, работа скучная, задач не много, если правильно все спланировать, мозг прокисает. Как написал первый комментатор, задачи следующие:
1. определение класса сетей, кабинетов, машин по типам обрабатываемой информации
2. планомерная проверка соответствия методов защиты регламентам
3. раз в неделю проверка прав пользователей, на которых предоставляли за неделю заявки для подключения/отключения сетевых ресурсов
4. выдача ключей/сертификатов
5. проверка настроек серверов
6. много бумажной работы
7. много выездных ревизий по подчиненным филиалам области
Если правильно распределять задачи, то работы на пол дня. Писать свое ПО никто не позволит, т.к. весь софт должен быть написан определенными конторами, сертифицирован для РФ.
Потом перешел на работу админа сети в компании на 5000+ человек только по области, пару сотен филиалов, работу безопасности тоже вижу. Ничего не меняется, ПО и железо для защиты от НСД установлены регламентами, шаг влево-вправо - расстрел. Никто ничего никогда не пишет в реальной жизни.

Comments

[random]

Работа и правда скучная, хотя я только неделю проработал. Думаю для начального опыта сойдет))