Как постепенно развиваться в сфере ИБ?

Question

[Ярослав]

Доброго времени суток, коллеги!
Пытался искать ответ на этот вопрос, но ничего конкретного я не нашел, к сожалению :(
Видимо из-за возможной специфичности вопроса.
Занимаюсь тестированием web-приложений на протяжении 3 лет. Занимаюсь аналитикой, тестированием, от части product owner. Понял что желания развиваться в полноценного продукта или проджекта нет, хочется решать технические вопросы. Выбор пал на сферу ИБ.

Имея навыки тестировщика, как постепенно развиваться в сфере ИБ, что почитать/как практиковать? Базовое понимание сферы имеется, но основной вопрос все таки к навыкам, их список разнится, от навыка программирования godlike до его полного отсутствия.

skills: html, css, js(базовые вещи), git, linux.

Comments

[sim3x]

ИБ чего?
Веба или всего остального?
Для каких целей: атака, защита,...?

Answer 1

[Xapu3ma]

Сфера ИБ обширна. В какое направление вы хотите? Penetration testing? Или быть инженером по СЗИ (внедрять продукты для защиты информации и.т.п.)

И в том и другом случае нужно знать методологии и общие практики для работы. Для pentest например OWASP, OSSTMM и.т.п. тык Ну и так же владеть инструментами для работы (дистрибутивы аналогичные Kali и им подобные).

Comments

[Ярослав]

Спасибо за ответ!
Больше интересует вопрос системного администрирования.

[Saboteur]

В русской речи его нет.

Да что вы говорите??

[Xapu3ma]

Saboteur,
Да! Преподаватель по деловой речи в университете так говорила.
Просвещайтесь
Просвещайтесь
Просвещайтесь
Просвещайтесь

Про авторитетность ресурсов писать не надо. Поспрашивайте людей кто занимается лингвистикой. Они расскажут про "доброго времени суток".

[Saboteur]

Xapu3ma,
Вы очень сильно ошибаетесь по поводу того, что есть "русский язык" и что есть "русская речь"
.
Просвещайтесь
https://www.youtube.com/watch?v=3H3ynNOoGiA
https://www.bbc.com/russian/features-39423175
https://www.gazeta.ru/science/2016/08/27_a_1016125...
Почитайте успенского "Слово и словах", отличная книга от известного лингвиста.

В интернете подобное приветствие - в НОРМЕ вещей, популярно, активно используется, а значит вероятность, что "доброго времени суток" рано или поздно войдет в учебники русского языка больше 50%.

А то, чем вы занимаетесь, называется граммарнаци. Это плохо, вредно, вдобавок запутывает вас самого.

[Xapu3ma]

Saboteur, извольте,чем же я занимаюсь?) В интернете много чего используется в выражениях, Вы что правда считаете что пишут "в этих ваших интернетах" войдет в учебники?))) Если да, то вопросов больше нет. :)

Вот еще пример.
Анна Валл

Вы видели где-то на тв, в газетах, журналах или книгах, такое выражение?)

[Saboteur]

Xapu3ma,
Дело не в том, что это пишут где-то в интернетах. Дело в том, что это уже сложившаяся популярная фраза в речевом обороте. Между прочим огромное количество слов и фраз пришло в том числе и из интернета. Смайлики, гуглить, и так далее.
И да, в русском языке возможно такие слова некорректны, но они совершенно допустимы, а то и необходимы в живой русской речи.
И хайп вокруг того, можно или нельзя "доброго времени суток" - это просто хайп, попытка запиариться.
Чтоже касается того, что войдет в русский язык или не войдет - еще раз, почитайте историю русского языка.

Очень многие вещи, ранее казавшиеся грамотностью, сегодня не просто устаревшие обороты, а безграмотность.
Например ранее, кофе было черное, а сейчас кофе был черный или "выпью ка я кофию" - была совершенно грамотная фраза, за которую сейчас отхватишь двойку.
Нумер, набольший, николи - вполне грамотные слова, которые использовали в своих произведениях известные писатели классики.

Поэтому если вы радеете за русский язык, не лезьте со своей неуместной грамотностью в наши интернетики, оставайтесь в вашем ТВ.

[Xapu3ma]

Saboteur, Да я понял, что Вам все одно, "килидор" и "звОнить", а шо и так нормас. Только других поучать безграмотности не надо. Если вы с друзьями так общаетесь, то это еще не норма стиля языка для всех.

[Saboteur]

Xapu3ma, Ваша проблема в том, что вы ведете себя как бабка у подъезда. Если идет кто-то в спортивных штанах и ест семечки, значит наркоман.

Научитесь отличать популярное и вполне вежливое "доброе время суток" и другие общеупотребительные в русскоязычном интернете и разговорной речи фразы от безграмотности. Тот же "превед медвед" имеет место быть. Вместо того, чтобы ответить автору на его вопрос, вы начинаете его поучать. Спасибо что в своем ответе убрали оффтопик.

[Xapu3ma]

Saboteur, это не я. Я не убирал. Кто-то отредактировал ответ. Под вашу логику можно сову на глобус натянуть. Кто-то в этом подъезде, где я как бабка сижу, решил опорожниться по большому, предположим Вы. И что теперь? Нормально к этому отнестись да? Может бумагу вынести? Метафора аналогичная вашей. Так что каждый останется при своем мнении.

Выражение "Доброе время суток" - даже звучит коряво, как "Чудесный килограмм яблок". Так не говорят и не пишут. Один индивид ляпнул, теперь все через одного считают это нормой.

[Saboteur]

Xapu3ma, Если кто-то опорожнится - это плохо. Но если опорожнятся начнут процентов 50 населения, то придется с этим жить либо запрещать законодательно и надеяться что это поможет.

Вы вообще понимаете что такое популярная, сложившаяся в живой речи фраза? Такое чувство, что вы даже не пытаетесь понять, что язык меняется не вследствии правил а вне зависимости от них.

[Xapu3ma]

Saboteur, Конечно понимаю что меняется! А Вы неужели не можете понять что изменения - это не всегда хорошо! И это не означает что ВСЕ должны им следовать. Если 50% населения, как вы говорите, будут опорожняться , я войду в тот процент который, это не будет терпеть. Вас не призываю и не заставляю, выбор каждого кем быть, что делать, как и что говорить. Автор написал, я его поправил. Услышит он это или нет - дело его.

[Saboteur]

Xapu3ma, Лично я выбрал, что доброго времени суток - отличная фраза.
На слух звучит приятно, обращение - нейтрально вежливое. Это лучше, чем hi или Добрый день.

Answer 2

[CityCat4]

Сфера ИБ - это примерно то же самое что сфера ИТ - чудище обло огромно озорно :) В нем полно направлений, субнаправлений...
- Люди, которые тестируют софт на наличие дыр - это ИБ
- Люди, которые реверсят вирусы чтобы расшифровать "фоточки" - это ИБ
- Люди, которые пишут правила файрволлов, настраивают прокси и решают, кого куда пускать - это тоже ИБ
- Люди, которые сидят за мониторингом СМП, за терминалами СКУД и видеонаблюдения - и это ИБ, хотя зачастую рутину передают в простую охрану
- Люди, которые пишут политики, руководства и правила - и это тоже ИБ.

Вам какого?

Answer 3

[cssman]

Как постепенно развиваться в сфере ИБ?

Сменить Вашу работу, на работу в сфере ИБ

Answer 4

[Saboteur]

Сфера ИБ занимается не совсем техническими вещами. В этой сфере в основном идет
1. Юриспруденция и документация - разработать все правила, утвердить, донести до сотрудников, привлечь руководство и так далее.
2. Внешний периметр - проходные, замки, магнитные карточки, учет входящих/выходящих, наблюдение и запись
3. Софт - организация доменной политики, прав доступа, контроль всех внутренних ресурсов и доступа к ним, обновление софта, организация всей работы всех проектов с учетом безопасности (например, внедрить обязательное сканирование всех продуктов каким-нить анализатором, запретить использовать открытые пароли в конфигах и заставить всех это сделать).

Если вас интересует техническая часть, то она совершенно не отличается от обычного администрирования и разработки - просто появляются новые требования, которые нужно внедрить. А так - ИБ это больше организация и внедрение различных требований.

Answer 5

[Alister O]

на самом деле то что написали выше относиться к ИТ секюрити.
согласно исаке ИБ это в первую очередь governance, а настройки фаерволов это задача ИТ секюрити, считай ИТ персонала. Сами custodian должны обеспечивать нужный уровень безопасности, а департамент ИБ производить мониторинг и делать оценку рисков.
можете почитать RACI из Кобит5

Answer 6

[Алекс]

Я согласен с формулировкой CISSP насчет 8ми больших направлений по ИБ :

1. Управление информационной безопасностью и рисками (Security and Risk Management)
2. Безопасность информационных активов (Asset Security) это про жизненный цикл данных, информации и типы контроля доступа.
3. Проектирование и разработка систем ИБ (Security Architecture and Engineering)
4. Коммуникации и сетевая безопасность (Communication and Network Security)
5. Управление доступом и идентификацией (Identity and Access Management)
6. Оценка средств защиты и методы их тестирования (Security Assessment and Testing)
7. Операции по обеспечению безопасности (Security Operations)
8. Разработка надежного/защищенного ПО с точки зрения ИБ (Software Development Security)
www.rohos.ru/2018/10/risk-management-in-cissp-cert...

У тебя больше всего опыта в 6, 8.
- Значит изучи темы 6 и 8 досконально.
- выучи английский
- Если на текущем месте работы можно освоить другую тему по ИБ- действуй.
Иначе меняй место работы.
- набирай опыта еще в 2х темах
- Здавай сертификацию CISSP

Удачи.