Комментарии 25
в методичках и документации

То есть где-то есть методичка «Как выстроить ИБ для чайников»?

примерный список того, что нужно знать и уметь для старта

Поправьте меня, если я ошибаюсь, но с таким списком знаний и умений дорога далеко не в стажёры, а в миддлы как минимум.

что нужно попробовать ещё до устройства на работу стажёром

Опять же, с таким багажом знаний и умений идти стажёром на 50к? Сомнительно.

Кстати, если сопоставить разделы «Рост в зарплате» и «Востребованность», то можно заключить, что на рынке нужны исключительно специалисты с опытом 2-3 года. Так что посыл статьи «вот так легко можно стать стажёром от ИБ» выглядит немного лукавым)
В свое время на это вот все клюнул и получил образование специалиста по ИБ (ИТМО БИТ).

Тоже думал буду пентестером, системным программистом, сетевиком, и вообще мистер роботом. На самом деле все техническое — это только самообучение и не иначе, таких знаний ни в одном универе не дадут.

А что дают в универе по иб? Зубрить тонны макулатуры про модели угроз, всякие РД (БИТ, АС, НСД, КД и тонны других упоротых аббревиатур), классификаторы, процессы аттестации-лицензирования и прочая не относящаяся к технарям фигня.
Ну и основные занятия ИБшника (в понимании наших преподавателей) — писать всякие регламенты, политики (бумажные, не в компьютере), составлять журналы учета журналов учета журналов итд.

На что похоже это образование? Ну, смесь менеджмента с правоведением и синдромом вахтера — причем эти знания не применимы нигде кроме России и если есть цель перебраться зарубеж это пустая трата времени.

Где-то треть моих одногруппников таки работает в итоге спецами по ИБ. Самые толковые (буквально три человека) как раз работают пентестерами, крутыми сетевиками, и системными инженерами — но тут надо понимать что они ВСЕМУ ЭТОМУ ОБУЧИЛИСЬ САМОСТОЯТЕЛЬНО И НА ГОЛОМ ЭНТУЗИАЗМЕ, а образование — лишь корочка.
Остальные — да, работают в сфере ИБ. Чем они занимаются? Пишут бумажки. Тоннами. Мегатоннами. К айти это отношения почти не имеет.

И еще один пример. У меня есть друг, не окончивший даже двух курсов высшего образования. Совершенно не айтишник — скорее смесь бандита, вышибалы, и чОткого пацанчика. Устроился по блату несколько лет назад в крупную гос компанию ИБшником (не имея к этому никакого отношения) — уже год как начальник отдела ИБ там. Знаний — ноль.

А вот лично я хоть и имею красный по ИБ, ни дня в этой сфере не работал. Сначала программистом, потом вообще ушел в компьютерную графику и переехал зарубеж работать в большую корпораху по этой теме.

Делайте выводы.)))

Ну потому что выбор неосознанный. Так же и с программированием. Надо немного ответственней к выбору профессии подходить, чтоб потом не стенать на хабре)
«Делайте выводы» — я сделал такой, что кое кто не смог никуда, кроме как в бюрократическую галеру, и остался обижен)
Не удивлюсь, если потом и графика так же выгорит

То, что в универах дают как «специалист по защите информации» не включает в себя ничего (по диагонали читал) из перечисленного, и при этом совпадает с требованиями госов (бумажки всякие, чтобы жопу прикрыть в первую очередь).
Средняя ЗП в регионе — от минималки до 23к на лет 5 назад.
Плюс можно стать невыездным если по дурости устроишься в какую клоаку типа ФСТЭК.

Жена (тоже ИБшник по образованию) лет 5 назад туда сходила на собеседование чисто по приколу — требования волшебные: и глубокие знания в операционных системах, и программирования, и гостов со всеми руководящими документами, и жнец и на дуде игрец, но зарплата предлагалась 17 тысяч плюс 5 лет невыезда из-за секретности с допусками.

Скажем дружно «На**р нужно».
У вас жена хотя бы на собеседование сходила.
Я на 4 (из 5) курсе понял всю безысходность и пошел устраиваться джуном программистом без всякого опыта работы — и то больше платили, и работать научили.
Специальность адово бесполезна даже сейчас, имхо.

Чет мягко говоря пиздежь)
Однокурсник работал там, спокойно выезжал.

1. Сидит в жире и пишет бессмысленные комментарии. Отвечает неспешно, задерживая задачу на разработку на пару недель;
2. Рассказывает на встречах что безопасности много не бывает и нужно ещё что-нибудь запретить;
3. Втихую накатывает политики безопасности после чего где то, что то перестаёт работать, а потом тихо сидит в комментах системы багтреккига и смотрит как разработчики ругаются с техподдержкой.

Простите, статью не читал, но Вы заголовком наступили на больную мазоль. Наверно где то есть разумные специалисты по ИБ, а мне просто не везёт :-(.
Возможно, просто не стоит одного и того же человека сажать и безопасностью разработки заниматься, и политики накатывать? Тогда у него наверняка появится больше времени отвечать на комменты в жире. Вы же, наверно, будучи разработчиком циски не конфигурите?
В данную специальность необходимо «прийти» из администраторов/программистов, кто углублялся в тематику сетей, защиту, шифрование, работу api. Приходить на данную вакансию после университета не самая лучшая идея, имхо.
У меня дикий испанский стыд от этой статьи.Я понимаю что деньги не пахнут и можно любую хрень написать, ладно народ в теме только вздохнёт увидев это. Но знай, если какой-то бедный ребёнок наткнётся на эту дрянную лживую агитку и сломает себе жизнь, попадая в наше ИБ болото и особенно если свяжется с секреткой- его жизнь будет на твоей совести, автор!
Сходит молодёжь на такие вот курсы… а потом я на семинаре спрашиваю у студента, обучающегося на безопасника: «какие типы DDoS атак знаешь?», а он отвечает: «да мне это нафиг не надо! У меня однокурсник поднял свой стартап вообще без этих знаний и гребёт деньги лопатой».
Действительно.jpg
Главный бэкграунд для ИБ-спеца — посидеть в тюрьме за хакерство.
Привет Митнику.
Ага, а потом от тебя будут как от прокаженного бежать.Не в этой стране сударь, не в этой.

Очень интересное мнение.
Действтельно, знания ит, разрабботки, опыт работы с windows и unix не нужна некоторым ит безопасникам.
Но это очень специфические безопасники, их предел — ходить проверять формальные правила типа ПК должен быть не подключен к интернету, в лучшем случае — писать подобные бумажки, после 10 лет опыта.
И конечно же, такой безопасник не имеет никакого отношения к реальной безопасности сетей, сайтов, мобильных приложений, интернета вещей и ПК. Потому что каким образом он сможет создавать и внедрять политики безопасности, если он не сможет осознать даже возможные угрозы?

Какая хорошая статья. Захотелось вот сходить на такие курсы, а тут читаю автора, потом комментарии и все, уже раздумала идти в сферу ИБ.

Толпа хейтеров не смогла с образованием пробиться в жизни, устроиться как следует — виноват институт. Не дал, не научил, не показал, не рассказал, а может чтобы преуспеть надо самому сраку от дивана оторвать и начать чего-то делать? я вот наоборот знаю многих успешных примеров, но там люди не стали бумажными кротами. Поработали, набрали опыта, параллельно подтянулись по IT и вот щас уже работают повыше.

Ну да, а в чем проблема?
В понимании масс студентов формируется шаблон, что ибшник это бумажная работа. Хотя много где не так.

Может добавите деталей каких то, чем такие спецы занимаются? Я свой опыт выше написал, работа с бумажками и зарплата от 12к до 20к.
пример 1.
мой товарищ поработал на бумажках, пока сидел работал с бумагой параллельно изучал ИБ по иностранным ресурсам)
в итоге после 3-4 летнего опыта в ИБ какого-то банка ушел работать в один дата-центр, заниматься облачной безопасностью) в подробности работы я не вникал. скажу лишь, что деньги там другие, бюрократии минимум.
пример 2.
там где я работал раньше, компании связанная с авиа строением)
я объединял все сразу
-бумаги (тратил на документы не более 10минут, т.к. все было зашаблонено)
-полностью отвечал за МСЭ и антивирусное ПО. иными словами администрирование этого всего, от создания и прописывания политик, до устранения сбоев в системе)
пример 3.
рандомный парень с хабра, отписался где-то в постах по ИБ или КБ не помню.
кароче занимался ИБ в общих чертах, бумажки в основном. Потом когда дернули рубильник компании а-ля taxcom и утвердились цифровые подписи ему было вверено разобраться «что и как». Он с головой залез в криптографию, прочитал пяток толстых зарубежных книг по этой теме и вот итог — щас работает в разработке по этой теме)
я не знаю как в других регионах, в МСК и СПб вариантов развития по этой теме много.
Ну т.е. никому не помогло то, что дают в универах, всему пришлось учиться самому.
Более того, 2 и 3 вариант ваще к ИБ отношения не имеют, ну разве что очень частично и сбоку.

От этого и грустно же, что дают какое то образование, но в реальности нужно не оно. Пять лет (нынче наверное 4?) потратить на то, что никому не надо — грустная история.
2 и 3 вариант ваще к ИБ отношения не имеют, ну разве что очень частично и сбоку.

нет чувак, как раз 2 и 3 и чистейшая ИБ, просто на аппаратно-программном уровне) а вот бумаги ФСТЭКовские задрюкивать это уже прикладное. в такую безопасность на уровне бумажек много ума встроится не нужно.
я бы взял подкованного технаря, его учить не требуется в таком количестве. а вот подтягивать чела шарящего документы, но 0-вого в технике уже труднее.
Ну т.е. никому не помогло то, что дают в универах, всему пришлось учиться самому.

ну как сказать, общие алгоритмы ИБ, понимание на уровне как это должно быть, значение каких то фундаментальных вещей/документов объяснили в универе) в 3 примере, у чувака очень жестко был уклон в криптографию, с его слов, и довесом — математика сильно была подточена на крипту. так что тут универ помог)
а насчет программ и прочего, зачем учить в универе? ну во всех компаниях разный подход. Ну а так, концепция такая — 4 года общий профиль ИБ, потом можно в магистратуру — там уже конкретно разбирать будут и аппаратно программный комплекс, и методы, и политики, и тд. (ВАЖНО! ЗАВИСИТ ОТ ИНСТИТУТА), но насчет магистратуры опять же скажу так, по опыту, мне показалось, что я примерно за пол года усвоил на практике на работе больше, чем 2г в магистратуре) но я не учился в ней. я бакалавриат закончил.

От этого и грустно же, что дают какое то образование, но в реальности нужно не оно.
а где не так?
с производством та же история — учат одному, на практике выясняется — что все иначе, все не так.
более менее отрасль, которая коррелируется с инстами — медицина. все остальное посредственно, тупа для диплома и формирования общего понимания)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.