Компьютерная безопасность или информационная безопасность автоматизированных систем

Обновлено: 06.07.2024

Обеспечение информационной безопасности АСУ – трудоемкая задача, потому что ИБ-специалистам необходимо выстроить систему защиты и организовать максимально безопасный режим функционирования АСУ, чтобы защищаемые информационные системы промышленного предприятия или объекта КИИ не подвергались внутренним и сторонним негативным воздействиям. При построении системы защиты рекомендуется учитывать международные регламенты кибербезопасности.

Чем отличается АСУ от остальных информационных систем?

Основное предназначение АСУ – управление физическими объектами (производственным, станочным и другими видами оборудования). Поэтому при функционировании АСУ должны обеспечиваться планомерность, цикличность работы оборудования, снижаться вероятность возникновения аварийных ситуаций. Из-за индустриального характера АСУ задачи по обеспечению ее безопасности должны рассматриваться обособленно от иных систем. Специфика АСУ заключается в следующем:

  • составляющие части АСУ располагаются обычно в труднодоступных зонах (на высоте, на нежилых участках);
  • жизненный цикл АСУ – около 25-35 лет, у обычных информационных систем – не более 5 лет;
  • АСУ не располагает резервом памяти для использования функционала безопасности;
  • поддержка АСУ выполняется исключительно компанией-производителем или официальным дистрибьютером;
  • протоколы коммуникации для АСУ выполняются на предельно профессиональном уровне (часто применяются выделенные каналы);
  • для АСУ актуально применение специфичных операционных систем с детально установленным параметрами совместимости и контролем обновлений;
  • в процессе управления рисками АСУ работает с физическими процессами, обычные информационные системы – с данными;
  • невозможно применять перезагрузку в качестве методики решения проблем в работе АСУ;
  • АСУ работает в реальном времени (в сравнении со стандартными информационными системами).

Информационная безопасность для АСУ

При выстраивании ИБ для АСУ специалисты должны учитывать общепринятые стандарты. Чаще всего применяется стандарт ISO/IEC 27000, на основе которого создан и интегрирован отечественный ГОСТ. Находит свое использование и стандарт ISA/IEC 62443, который частично также был реализован в российских ГОСТах.

Отчасти вопрос кибербезопасности АСУ может быть решен на уровне государства. Это обусловлено тем, что такие системы должны быть лицензированы и сертифицированы – на эти процедуры обычно затрачивается около 10% от стоимости всей системы. Главной задачей обеспечения кибербезопасности для АСУ является возможность контроля рисков с функцией их предварительного ранжирования. Риски распределены по уровням:

  • Управление сигнализационными устройствами, датчиками.
  • Местное управление используемым оборудованием, технологическими процессами.
  • Управление и отслеживание протекающих физических процессов.
  • Операционное управление производственными решениями.
  • Управление организацией в целом.

Для каждого представленного уровня характерны собственные риски, блокировка которых от кибератак и сбоев в работе программного обеспечения требуется для обеспечения информбезопасности. При полной организации кибербезопасности АСУ необходимо реализовать:

  • доступность информации;
  • ограниченность временного промежутка реакции на инциденты безопасности;
  • контроль потоков информации, исключение утечек данных;
  • гарантия целостности системы, связей;
  • контроль эксплуатации ресурсов оборудования;
  • управления идентификационными и аутентификационными решениями.

Если подобные требования будут соблюдаться, что можно рассуждать о нормальном обеспечение информационной безопасности АСУ.

Эо, пикабушники. Прошу, помогите школьнику-аутисту, который не очень хорошо понимает разницу между информационной безопасностью автоматизированных систем и информационной безопасностью телекоммуникационных систем. Я уже в отчаянии. В чем их отличие? что я смогу делать обучившись какой-то из этих специальностей? кем смогу работать при той или иной специальности? Или же отличий мало? Аргхх, мозг уже поплыл :/

П.С. интересна безопасность как самого железа так и программной части (возможно ли это сочетать?)

П.П.С. подозреваю, что в колледжах особо многому не научишься, но мне интересно именно отличие этих специальностей в целом.

Прошу прощение если есть ошибки в тексте (можете на них указать, буду благодарна)

Разница простая - на одной специальности ты будешь изучать информационную безопасность телекоммуникационных систем, а на другой информационную безопасность автоматизированных систем.

Ну а по сути - чем хочешь заниматься - приборами для связи, то бишь телекоммуникаций, или автоматами (скорее всего, всякие промышленные приборы\измерители и тд).

будущее за связью, ящетаю.

Берите любую. Это для корочки. А то, что Вам реально понадобится будете грысть вне универа.

Телекомуникиционные устройства - все что имеет отношение к сетям передачи данных. Маршрутизаторы, АТСки, мобильные устройства. Расскажут про сети, протоколы, VPNы, оборудование Cisco.

Автоматизированные системы это любой программно-аппаратный комплекс который автоматизирует какой-то процесс. Например, запись в электронную очередь в поликлинику. Есть терминал получения талончика, подключенный к проге со списком врачей и временем их работы. Тут будут говорить больше, полагаю, про разграничения прав доступа, этот пользователь может это и вот это, а другой только вон то. Будут говорить про Windows Active Directory, 1ски, SAP, Базы Данных, да вообще про все)

Для меня и то и то это Информационная безопасность, не знаю, есть ли смысл их так разделять.

Автор, лучше не надо. Если точно не знаешь, почему именно туда - не надо. Не твое.

Всё просто. При автоматизированных системах паяльником в жопу надо тыкать хацкету, который на них покусился. А в неавтоматизированных системах паяльником в жопу надо тыкать оператору, который сука слил инфу конкурентам.

АС - отдельные компы, железо, которыми управляет человек. Телекоммуникационные системы - системы связи и сети, БД и т.п.
В принципе они смежные в ЗИ, учА одно - учишь и второе.

Автоматизированные системы - есть у тебя станок, он работает по заданной программе. Делает болты металлические ФХТАГН-666-БФГ для дирижаблей "Киров". Может даже прошивку себе обновляет по интернету. А тут ему ррраз и попортили программную начинку. Может, потому что охранник на проходной пил три недели и не заметил подозрительную флешку у китайца, который к вам приезжал на завод типа в командировку из Гуаньчжоу, а может по интернету. В любом случае результат - станок стал выпускать гнутые и поникшие болты вместо нормальных.
Вот чтобы такие неприятности предотвратить и работает на заводе специалист по информационной безопасности автоматизированных систем, который следит, чтобы операционка станка вовремя обновляла информацию об угрозах и проверяла все, что в нее пихают. Как-то так.

Ну а телекоммуникации - шифрование каналов связи. Протоколы безопасности сетей. Защита от перехвата. Вот это вот все.

Если исходить из физтеховской парадигмы, то ты должна будешь защищать данные в примерно таких системах:

А что там они в действительно придумали под вывеской "информационная безопасность автоматизированных систем" не известно, но теоретически можно встрять в нехилый такой головняк, хотя на выходе можно получить вполне серьезную такую специальность.

1 - как трахаться с гондоном
2 - вовремя вытащить

Безопасность железа - это укрепление системного блока?)

Бесплатно помогаю пикабушникам учить программирование, часть 20: «Как преодолеть синдром самозванца ?»

Я продолжаю отвечать на вопросы из комментариев своих подписчиков. Задавая их вы помогаете проекту развиваться. Началось все здесь

Бесплатно помогаю пикабушникам учить программирование, часть 20: «Как преодолеть синдром самозванца ?» Программирование, Программист, Web-Программирование, Совет, Обучение, Бесплатно, Бесплатное обучение, Бесплатное образование, Халява, Длиннопост

В моем понимании синдром самозванца это последствия низкой самооценки. Это состояние очень часто встречается у разработчиков начального уровня. Вот несколько советов, основанных на личном опыте, которые помогут вам стать лучше в этом аспекте.

1. Вместо отказа на вакансию назовите цифру в 2-3 раза больше предлагаемой.

Ни для кого не секрет что спрос на разработчиков сильно превышает предложение. Когда вы уже нашли работу, и вам предлагают другие вакансии или временную подработку, просто назовите цену гораздо больше того, чем сейчас. Сильно увеличивать свой прайс не стоит, а вот просить в 2-3 раза больше того что есть сейчас - решение вполне себе хорошее.

Важно понимать, что вы ничего не теряете. Опасаться выглядеть глупо тоже не стоит. У представителя отдела кадров за день проходит десятки, если не сотни, резюме. Вы просто один из списка и не более того. Здесь вы в ситуации "или произойдет что-то хорошее или ничего не изменится". А это очень хорошие риски.

Спустя некоторое время найдутся те, кто согласятся на ваш повышенный прайс. Это неизбежно произойдет. Подход "если он много просит то он явно хороший специалист" присутствует ну очень часто. После нескольких таких случаев синдром самозванца если не пройдет, то сильно уменьшится. Это работает. Я проверял.

2. Помогайте новичкам.

Иногда здесь или на "популярном оранжевом сайте" встречаются посты/треды новичков, которые запутались. Если у вас есть похожий опыт или ваш текущий уровень превышает их - предложите им помощь. В идеале - помогите полному новичку дойти до уровня стажера/младшего разработчика. Даже 1 маленькая история успеха сильно изменит ваше представление о себе. Также это хороший плюс в глазах нанимателя.

3. Учите английский язык.

Довольно избитая фраза, но, тем не менее, она всегда будет актуальна. Как минимум потому, что вы увеличиваете количество предложений в разы. Очень сложно иметь низкую самооценку когда за неделю вам приходит 10-20 предложений с зарплатной вилкой в разы выше текущей.

Подводя итог всему сказанному важно понимать что все люди ошибаются.

В природе нет ничего идеального и совершенного. Ошибки не делают вас хуже и не понижают ваши скиллы. Они неизбежно будут потому, что без них никак. Помимо того, как нужно делать, важно знать как делать не нужно. Именно наличие позитивного и негативного опыта отделяет мастера от новичка. Делайте выводы, не зацикливайтесь на временных неудачах и все получится.

Уже 37 моих подписчиков дошли до получения работы.


Как перестать бояться падать (срываться)

Всем привет!
В этом посте я хочу затронуть вопрос, связанный с психологией и скалолазанием. Многие люди боятся сорваться и упасть вниз. Кого-то это вообще отталкивает от подобного занятия, а кого-то ограничивает в сложности и технике. По моему опыту люди уделяют большое внимание физическим упражнениям, но забывают про свой мозг. Я поговорил со многими коллегами и все они используют примерно одну и ту же методику обучения, поэтому я думаю, что могу рекомендовать ее вам. Поехали!

Коротко: небольшими падениями приучить человека не бояться, постепенно увеличивая высоту и глубины срыва.

Введение
Страх высоты (страх упасть вниз) нормальное явление и необходим для самосохранения. Я даже скажу, что для успешного лазания на реальном рельефе бояться необходимо. Но этот страх должен заставлять вас быть более аккуратными и тщательно все продумывать. Бывают ситуации, когда страх мешает и может навредить. Например, человек может быть буквально парализован страхом и не способен сделать движение или выполнить команду тренера, а это может быть очень опасно. Как правило, люди могут уверенно лезть вверх до определенного момента (пока не станет слишком высоко или слишком сложно), после чего они начинают бояться упасть вниз. Проблема может стать более серьезной, если человек залез достаточно высоко и не может двигаться ни вверх, ни вниз. Повиснуть на веревке, чтобы их спустил страхующий они тоже не могут, так как бояться упасть. Постараюсь поэтапно рассказать, как научить человека не бояться падать.

Рассказ и пример
Для начала стоит немного рассказать о том, как устроена страховочная система и прочее снаряжение; на какие нагрузки они рассчитаны и какие нагрузки наиболее вероятны в реальной жизни (производители закладывают очень большой запас прочности в подобное снаряжение и добиться подобных нагрузок в жизни практически невозможно). Затем стоит показать падение и страховку на чьем-то примере. Человек должен увидеть, что люди срываются, повисают на веревке и с ними ничего не случается. Если этот этап пройден, можно переходить к следующему.

Лазание с верхней и небольшие срывы
Для первого раза обязательно использовать верхнюю страховку (это безопаснее, понятнее и падение будет более мягким). Нужно попросить человека залезть совсем невысоко и плавно повиснуть на веревке. Возможно, для первого раза потребуется попросить человека просто присесть и чуть его приподнять на веревке. Но в любом случае стоит избегать большой высоты - страх и неудачный опыт может укорениться в голове и побороть его станет намного сложнее. В то время, как положительный опыт будет накапливаться и человек будет чувствовать себя увереннее. Постепенно увеличиваем высоту лазания и глубину срывов (совсем по чуть-чуть). Потом можно переходить к следующему этапу.

Лазание с верхней и срыв при касании
Мы все также учимся лазать с верхней страховкой, но теперь нужно попросить человека дотронуться рукой до зацепки и затем упасть. Это очень важный момент, так как до этого человек держался за стену двумя руками и, возможно, долго готовился к срыву. Сейчас нужно научиться отпускать одну руку и падать вниз (при реальном лазании чаще всего бывает именно так: не потянулся, соскользнул и сорвался вниз, т.е. ты срываешься во время лазания, а не когда висишь на стене, и это нормально). Для первого раза, возможно, придется опуститься ниже, где будет не так страшно и затем понемногу увеличивать высоту.

Лазание с верхней и маятник
Поздравляю! Мы дошли до действительно интересных вещей. Прежде, чем переходить к этому упражнению необходимо привыкнуть к падению предыдущими способами. На этот раз нужно попросить немного подняться и затем сделать пару шагов в сторону от веревки, после чего упасть вниз. В результате такого падения человека слегка качнет в сторону веревки (это называется маятник). Будьте очень внимательны и осторожны - маятник должен получиться небольшим, а по вектору движения человека не должно быть предметов. Будет очень неприятно, если при таком падении человек удариться о стену или, что еще хуже, врежется в другого человека.

Лазание с нижней и небольшие срывы
Вот мы и добрались до нижней страховки. Срывы с ней будут немного жестче, чем с верхней, поэтому человек должен к этому времени чувствовать себя достаточно уверенно. Начать стоит с самого простого - человек пролезает несколько оттяжек, затем включается в оттяжку над собой (это очень важно!) и падает вниз. Технически, это будет, как верхняя страховка (веревка расположена над человеком), поэтому особых проблем здесь быть не должно. Постепенно можно переходить к тому, что по чуть-чуть увеличивать высоту и глубину срывов.

Лазание с нижней и срыв при включении
Похожее упражнение мы делали, когда лазали с нижней страховкой и срывались при касании. Теперь будет немного сложнее. Нужно подняться и сорваться при имитации вщелкивания веревки в оттяжку. Такое тоже часто случается в реальной жизни - ты хочешь дотянуться до точки, чтобы включиться и срываешься. Психологически заставить себя не включиться довольно сложно. Иногда лучше спуститься пониже и начать с небольшой высоты и совсем небольших срывов.

Лазание с верхней и большие срывы
Наконец, мы подошли к кульминации нашего испытания. Пришла пора больших падений. Лучше вернуться к верхней страховке (хотя бы на первое время) и попросить человека подняться повыше и сорваться. Задача страхующего выдать ему побольше веревки, чтобы увеличить высоту падения (но всегда стоит думать о безопасности) и, что немаловажно, мягко его поймать. Когда срыв достаточно глубокий, человека как бы отбрасывает от стены, а затем, во время страховки, с силой притягивает к ней. В этот момент нужно научиться правильно группироваться, чтобы амортизировать удар о стену. В основном, удар приходится на ноги и именно ими упираются в стену. Конечно, когда перед этим должны быть согнуты в коленях и как бы подпружинины. При сильном ударе не неудачном положении ног можно повредить лодыжки, будьте осторожны.

Лазание с нижней и большие срывы
На самом деле, при нижней страховке не должно быть действительно больших срывов, так как это реально опасно для здоровья. Но пролезть вверх до следующей оттяжки и сорваться вполне нормально.

Срыв по команде
Если вы успешно прошли все предыдущие этапы, то здесь не должно возникнуть особых проблем и "курс" можно считать успешным. Смысл этого упражнения в том, что человек поднимается и срывается в тот момент, когда вы даете ему команду. При этом, он не должен раздумывать, а сразу падать вниз. Возможно, он будет в неудобной позе, или захочет включиться, или что-то еще. Чтобы он не делал в этот момент, он должен упасть, как только услышит команду.

Заключение
Когда человек не боится падать, он действует более уверенно и может попробовать полазить по действительно сложным и интересным трассам. В то время, как страх может или навсегда отбить желание этим заниматься, или ограничить лазание очень простыми трассами.

Необходимое замечание. Я думаю, вы это и так все знаете, но, на всякий случай, должен сказать: занимайтесь только на динамических веревках, одевайте каску, убирайте длинные волосы и украшения (особенно с пальцев) и используйте проверенное оборудование. Возможно, кому-то это покажется нелогичным, но падать на небольшую высоту может быть опаснее, чем на большую. Дело в том, что во время падения веревка растягивается и поглощает часть энергии, чем больше веревки, тем большую энергию она сможет поглотить и тем комфортнее вам будет. В то время, как короткая веревка поглотит меньше энергии и такие срывы могут быть очень жесткими и опасными. Очень большая роль в этом курсе отводится страхующему: это должен быть действительно опытный тренер, который сможет вас мягко поймать и спустить вниз. Если вы решите на подобные упражнения с вашим другом, который знает и имеет не больше вашего, все может закончиться очень плохо. Будьте осторожно, занимайтесь с профессионалами.

Всем спасибо за внимание. Надеюсь, вы узнали что-то полезное для себя. На вопросы постараюсь ответить в комментариях. Также, буду рад услышать ваши истории о том, как учились падать вы или ваши знакомые.

То, что на кафедрах информационной безопасности обучают специалистов по компьютерной безопасности, есть следствие подмены понятий в российской науке и российском законодательстве, где под информационной безопасностью понимается: в одном случае – состояние защищённости личности, общества и государства в информационной сфере, в другом – процесс обеспечения конфиденциальности, целостности, доступности информации. Понятие «компьютерная безопасность» не конституировано российским законодательством и не исследуется российской наукой. Поэтому выпускники кафедр информационной безопасности не понимают, что такое информационная безопасность на самом деле и не имеют к ней, практически, никакого отношения. Они – кибербезопасники.

На самом же деле, информационная безопасность (ИБ) – ситуация, при которой субъекту информационных отношений не может быть причинён вред в виде нарушения (разрушения) его информационной инфраструктуры и нарушения информационной деятельности. Информационная безопасность – родовое (наиболее общее) понятие по отношению ко всем процессам, связанным с информационными отношениями людей – субъектов информационных отношений. Это – гуманитарная проблема, решение которой осуществляется путём:

1) обеспечения субъектов информационных отношений (людей и организаций) достоверной, доступной для понимания и достаточной для принятия правильных решений информацией;

2) защитой субъектов информационных отношений от деструктивного информационного воздействия;

3) защитой социально значимых информационных ресурсов от уничтожения, искажения, некорректного использования.

Компьютерная безопасность (шире – кибербезопасность) – ситуация, при которой компьютерам и компьютерным сетям не может быть причинён вред в виде деструкции (нарушении структуры, уничтожения и/или искажения информационных ресурсов), дисфункции (нарушения функционирования) и дискомфорта (блокирования доступа, нарушение правил доступа и др.). Обеспечение компьютерной безопасности (кибербезопасности) – техническая проблема, которой и обучают на кафедрах, называемых кафедрами ИБ. И это – незначительная и самая примитивная часть глобальной проблемы обеспечения информационной безопасности человека и человечества.

Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.

В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.

Специалист по информационной безопасности. Что делает и сколько зарабатывает

дмитрий кузьмин

Разобрался, чем занимается специалист по ИБ, что должен знать и где может работать

Кто такой специалист по ИБ сейчас

Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.

Но есть и более узкие специальности уже внутри сферы:

Есть ещё один вариант деления специалистов:

  • Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
  • Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.

Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.

Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.

Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.

Чем занимаются специалисты по информационной безопасности

Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.

Вот типичные задачи специалиста по ИБ:

  • Изучить систему информационной безопасности в компании, разобраться, где есть явные уязвимости.
  • Посмотреть общую ситуацию, узнать, кто в принципе может заинтересоваться взломом компании.
  • Составить программу внедрения защиты. Решить, что исправлять сначала — например, настроить протоколы доступа, прописать скрипты защиты, настроить систему генерации паролей.
  • Разобраться с продуктом — найти уязвимости в коде, составить техническое задание на устранение.
  • Провести оценку системы защиты — провести согласованные атаки на сетевые ресурсы.
  • Проанализировать мониторинг — узнать, кто интересовался системой, какими способами, как часто.
  • Внедрить защиту для особо слабых узлов.

Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.

Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.

Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.

Как стать специалистом по ИБ

Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.

Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.

Нужен ли технический бэкграунд

Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.

Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.

Нужен ли английский язык

На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.

Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.

Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.

Что нужно знать для старта работы

Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:

  • Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.
  • Только сети — если посмотреть на структуру таких курсов, то окажется, что это учеба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
  • Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.

Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.

То есть и законам, и настройкам сети, и хакингу, и защите от взломов.

Стек навыков

Вот примерный список того, что нужно знать и уметь для старта:

  • Настроить сетевой стек.
  • Провести аудит системы, проанализировать, какое место уязвимое.
  • Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
  • Настроить систему мониторинга и систему предупреждения о проблемах.
  • Учитывать человеческий фактор в построении защиты.

Кроме этого, пригодится понимание криптографических и других методов защиты. Плюс разберитесь в нормативно-правовых актах в сфере ИБ, сфере ответственности государственных структур (ФСТЭК, ФСБ, Министерство Обороны, ЦБ).

Наименьшее количество вопросов, требующих ответа "да" или "нет"
Известно, что жители некоторого города А всегда говорят правду, а жители соседнего города Б всегда.

Различие архитектур: "клиент-сервер" и "файл-сервер"
Здравствуйте! Кто нибудь может мне на пальцах, своими словами объяснить различие между.


Контрольная работа "Информационные технологии в профессиональной деятельности"
Вы изучили дисциплину «Информационные технологии в профессиональной деятельности». Мы предлагаем.

Специалисты в области любой безопасности (особенно государственной) работают под покровом тайны. Вполне логично, что никто не знает, чем они реально занимаются. Даже их непосредственное начальство. MOHCTP, ну а отличие "информационной" безопасности от "компьютерной" можно услышать? А то на компьютерную надо физику на ЕГЭ сдавать, а на информационную-информатику)

Slim86r, я не хотел отвечать. Только не обижайтесь и не сочтите меня злыднем, но, если бы Вы немного подумали, то и сами бы ответили на Ваш вопрос. Нетрудно предположить, что информационная безопасность - это меры, направленные на предотвращение нежелательной утечки любой секретной информации к конкурентам. Информация может содержаться на разных носителях. В виде текста и графики на бумаге или другом подобном носителе (да хоть на бюсте крокодила) , в виде звука, в виде предателя. Да в любом виде.

В том числе и в виде компьютерных файлов. Получается, что, вроде бы, компьютерная безопасность есть подмножество информационной безопасности.

Если ещё подумать, то это не совсем (или даже совсем) неверно. Правильнее было бы назвать меры по предотвращению нежелательной утечки к конкурентам секретной информации, содержащейся в компьютере, информационной компьютерной безопасностью. Тогда это можно считать подмножеством информационной безопасности.

Осмелюсь предположить, что термин "компьютерная безопасность" используется людьми, не заботящимися о корректности своих высказываний, в качестве термина "информационная безопасность".

На самом деле, если рассуждать строго, компьютерная безопасность - это меры, направленные на исключение нарушения работоспособности компьютера (или компьютеров) или управления компьютером (или компьютерами) сторонними лицами.

В самом деле, доступ к компьютеру злоумышленника ещё не означает кражу информации. Информация может быть зашифрована или находиться на недоступном для злоумышленника носителе.

А нарушение работоспособности компьютера может использоваться для создания временной (или даже постоянной) неработоспособности компании. Например, с целью опережения по срокам при захвате выгодных подрядов или при монополизации рынка.

Читайте также: