Задать вопрос
@shepiHam
информационная-безопасность

Как постепенно развиваться в сфере ИБ?

Доброго времени суток, коллеги!
Пытался искать ответ на этот вопрос, но ничего конкретного я не нашел, к сожалению :(
Видимо из-за возможной специфичности вопроса.
Занимаюсь тестированием web-приложений на протяжении 3 лет. Занимаюсь аналитикой, тестированием, от части product owner. Понял что желания развиваться в полноценного продукта или проджекта нет, хочется решать технические вопросы. Выбор пал на сферу ИБ.

Имея навыки тестировщика, как постепенно развиваться в сфере ИБ, что почитать/как практиковать? Базовое понимание сферы имеется, но основной вопрос все таки к навыкам, их список разнится, от навыка программирования godlike до его полного отсутствия.

skills: html, css, js(базовые вещи), git, linux.
  • Вопрос задан
  • 435 просмотров
1 комментарий
Подписаться 2 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 6
Xapu3ma-NN
@Xapu3ma-NN
Сфера ИБ обширна. В какое направление вы хотите? Penetration testing? Или быть инженером по СЗИ (внедрять продукты для защиты информации и.т.п.)

И в том и другом случае нужно знать методологии и общие практики для работы. Для pentest например OWASP, OSSTMM и.т.п. тык Ну и так же владеть инструментами для работы (дистрибутивы аналогичные Kali и им подобные).
Ответ написан
12 комментариев
12 комментариев
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
Сфера ИБ - это примерно то же самое что сфера ИТ - чудище обло огромно озорно :) В нем полно направлений, субнаправлений...
- Люди, которые тестируют софт на наличие дыр - это ИБ
- Люди, которые реверсят вирусы чтобы расшифровать "фоточки" - это ИБ
- Люди, которые пишут правила файрволлов, настраивают прокси и решают, кого куда пускать - это тоже ИБ
- Люди, которые сидят за мониторингом СМП, за терминалами СКУД и видеонаблюдения - и это ИБ, хотя зачастую рутину передают в простую охрану
- Люди, которые пишут политики, руководства и правила - и это тоже ИБ.

Вам какого?
Ответ написан
Комментировать
Комментировать
@cssman
Как постепенно развиваться в сфере ИБ?

Сменить Вашу работу, на работу в сфере ИБ
Ответ написан
Комментировать
Комментировать
saboteur_kiev
@saboteur_kiev Куратор тега Информационная безопасность
software engineer
Сфера ИБ занимается не совсем техническими вещами. В этой сфере в основном идет
1. Юриспруденция и документация - разработать все правила, утвердить, донести до сотрудников, привлечь руководство и так далее.
2. Внешний периметр - проходные, замки, магнитные карточки, учет входящих/выходящих, наблюдение и запись
3. Софт - организация доменной политики, прав доступа, контроль всех внутренних ресурсов и доступа к ним, обновление софта, организация всей работы всех проектов с учетом безопасности (например, внедрить обязательное сканирование всех продуктов каким-нить анализатором, запретить использовать открытые пароли в конфигах и заставить всех это сделать).

Если вас интересует техническая часть, то она совершенно не отличается от обычного администрирования и разработки - просто появляются новые требования, которые нужно внедрить. А так - ИБ это больше организация и внедрение различных требований.
Ответ написан
Комментировать
Комментировать
box4
@box4
на самом деле то что написали выше относиться к ИТ секюрити.
согласно исаке ИБ это в первую очередь governance, а настройки фаерволов это задача ИТ секюрити, считай ИТ персонала. Сами custodian должны обеспечивать нужный уровень безопасности, а департамент ИБ производить мониторинг и делать оценку рисков.
можете почитать RACI из Кобит5
Ответ написан
Комментировать
Комментировать
asilonos
@asilonos
Программист
Я согласен с формулировкой CISSP насчет 8ми больших направлений по ИБ :

1. Управление информационной безопасностью и рисками (Security and Risk Management)
2. Безопасность информационных активов (Asset Security) это про жизненный цикл данных, информации и типы контроля доступа.
3. Проектирование и разработка систем ИБ (Security Architecture and Engineering)
4. Коммуникации и сетевая безопасность (Communication and Network Security)
5. Управление доступом и идентификацией (Identity and Access Management)
6. Оценка средств защиты и методы их тестирования (Security Assessment and Testing)
7. Операции по обеспечению безопасности (Security Operations)
8. Разработка надежного/защищенного ПО с точки зрения ИБ (Software Development Security)
www.rohos.ru/2018/10/risk-management-in-cissp-cert...

У тебя больше всего опыта в 6, 8.
- Значит изучи темы 6 и 8 досконально.
- выучи английский
- Если на текущем месте работы можно освоить другую тему по ИБ- действуй.
Иначе меняй место работы.
- набирай опыта еще в 2х темах
- Здавай сертификацию CISSP

Удачи.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
DevSecOps
Outlines Tech
от 300 000 до 350 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Необходимо сверстать приложение согласно макету Figma используя React
26 апр. 2024, в 22:22
1500 руб./за проект
Написать модуль подключения матрицы Sony к ПЛИС (Verilog)
26 апр. 2024, в 21:30
15000 руб./за проект
8266 f12 требуется сделать ревью и оптимизировать работу
26 апр. 2024, в 20:42
2000 руб./за проект
Ещё заказы