Задать вопрос

Как постепенно развиваться в сфере ИБ?

Доброго времени суток, коллеги!
Пытался искать ответ на этот вопрос, но ничего конкретного я не нашел, к сожалению :(
Видимо из-за возможной специфичности вопроса.
Занимаюсь тестированием web-приложений на протяжении 3 лет. Занимаюсь аналитикой, тестированием, от части product owner. Понял что желания развиваться в полноценного продукта или проджекта нет, хочется решать технические вопросы. Выбор пал на сферу ИБ.

Имея навыки тестировщика, как постепенно развиваться в сфере ИБ, что почитать/как практиковать? Базовое понимание сферы имеется, но основной вопрос все таки к навыкам, их список разнится, от навыка программирования godlike до его полного отсутствия.

skills: html, css, js(базовые вещи), git, linux.
  • Вопрос задан
  • 435 просмотров
Подписаться 2 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 6
Xapu3ma-NN
@Xapu3ma-NN
Сфера ИБ обширна. В какое направление вы хотите? Penetration testing? Или быть инженером по СЗИ (внедрять продукты для защиты информации и.т.п.)

И в том и другом случае нужно знать методологии и общие практики для работы. Для pentest например OWASP, OSSTMM и.т.п. тык Ну и так же владеть инструментами для работы (дистрибутивы аналогичные Kali и им подобные).
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Сфера ИБ - это примерно то же самое что сфера ИТ - чудище обло огромно озорно :) В нем полно направлений, субнаправлений...
- Люди, которые тестируют софт на наличие дыр - это ИБ
- Люди, которые реверсят вирусы чтобы расшифровать "фоточки" - это ИБ
- Люди, которые пишут правила файрволлов, настраивают прокси и решают, кого куда пускать - это тоже ИБ
- Люди, которые сидят за мониторингом СМП, за терминалами СКУД и видеонаблюдения - и это ИБ, хотя зачастую рутину передают в простую охрану
- Люди, которые пишут политики, руководства и правила - и это тоже ИБ.

Вам какого?
Ответ написан
Комментировать
@cssman
Как постепенно развиваться в сфере ИБ?

Сменить Вашу работу, на работу в сфере ИБ
Ответ написан
Комментировать
saboteur_kiev
@saboteur_kiev Куратор тега Информационная безопасность
software engineer
Сфера ИБ занимается не совсем техническими вещами. В этой сфере в основном идет
1. Юриспруденция и документация - разработать все правила, утвердить, донести до сотрудников, привлечь руководство и так далее.
2. Внешний периметр - проходные, замки, магнитные карточки, учет входящих/выходящих, наблюдение и запись
3. Софт - организация доменной политики, прав доступа, контроль всех внутренних ресурсов и доступа к ним, обновление софта, организация всей работы всех проектов с учетом безопасности (например, внедрить обязательное сканирование всех продуктов каким-нить анализатором, запретить использовать открытые пароли в конфигах и заставить всех это сделать).

Если вас интересует техническая часть, то она совершенно не отличается от обычного администрирования и разработки - просто появляются новые требования, которые нужно внедрить. А так - ИБ это больше организация и внедрение различных требований.
Ответ написан
Комментировать
box4
@box4
на самом деле то что написали выше относиться к ИТ секюрити.
согласно исаке ИБ это в первую очередь governance, а настройки фаерволов это задача ИТ секюрити, считай ИТ персонала. Сами custodian должны обеспечивать нужный уровень безопасности, а департамент ИБ производить мониторинг и делать оценку рисков.
можете почитать RACI из Кобит5
Ответ написан
Комментировать
asilonos
@asilonos
Программист
Я согласен с формулировкой CISSP насчет 8ми больших направлений по ИБ :

1. Управление информационной безопасностью и рисками (Security and Risk Management)
2. Безопасность информационных активов (Asset Security) это про жизненный цикл данных, информации и типы контроля доступа.
3. Проектирование и разработка систем ИБ (Security Architecture and Engineering)
4. Коммуникации и сетевая безопасность (Communication and Network Security)
5. Управление доступом и идентификацией (Identity and Access Management)
6. Оценка средств защиты и методы их тестирования (Security Assessment and Testing)
7. Операции по обеспечению безопасности (Security Operations)
8. Разработка надежного/защищенного ПО с точки зрения ИБ (Software Development Security)
www.rohos.ru/2018/10/risk-management-in-cissp-cert...

У тебя больше всего опыта в 6, 8.
- Значит изучи темы 6 и 8 досконально.
- выучи английский
- Если на текущем месте работы можно освоить другую тему по ИБ- действуй.
Иначе меняй место работы.
- набирай опыта еще в 2х темах
- Здавай сертификацию CISSP

Удачи.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы