R0 CREW

Бумажные специалисты учат «Информационной Безопасности»

В тему «Бумажных Специалистов» из по ИБэ индустрии: http://habrahabr.ru/post/171753/

Так как статья была забанена, то перепостили ее сюда:


Бумажные специалисты учат «Информационной Безопасности»

Хотелось бы услышать мнение общественности по следующей теме. Недавно на глаза мне попалось объявление о том, что в Компьютерной академии «Шаг» стартует новый курс под названием «Информационная безопасность». Преподаватель курса, Бочаров Виталий Вячеславович, имеет общий стаж работы более 15 лет (почему-то не указано, в какой сфере) и обладает множеством сертификатов. Более подробная информация о курсе дана здесь:

itstep.dn.ua/informatsionnaya-bezopasnost.html

Стоимость обучения достаточно высока и колеблется от 14400 грн (если оплатить сразу весь курс) до 16300 грн (если оплачивать помесячно). В рублях это от 55 до 62 тыс. руб соответственно.

Всё бы ничего, но меня в этом курсе смутила одна маааленькая деталь – по моему скромному мнению этот курс ни о чём. Давайте более подробно рассмотрим программу обучения.

Первая часть (36 академических часов) рассказывает о том, что либо и так известно человеку, желающему защитить информацию (Ценность информации и активов), либо просто толчёт воду в ступе (Уровни ответственности, Роли безопасности и персонал). Ну скажите мне, какими правами обладает средний IT-специалист в компании, и кто ему разрешит подсчитывать ценность информации и активов, кто будет ему докладывать? И неужели на стандарты и на, в общем-то, вводную часть нужно тратить аж 36 * 45 минут = 27 часов чистого времени?

Ну ладно, допустим, это – вопрос спорный. Но вот расскажите мне, как человек без специальной математической подготовки по дискретной математике и дифференциальному исчислению может за 42 академических часа изучить тему «Криптография»? А ведь эта тема насчитывает 34 (!) раздела, т.е. на каждый в среднем приходится около 56 минут.

Ради справедливости надо отметить наличие в курсе раздела № 5, в который всунули всё, что смогли вспомнить. Локальные и глобальные сети, беспроводные сети, мобильные устройства, руткиты – всё за 42 академических часа!

По моему, опять-таки, весьма скромному мнению, разработчики данного курса пошли дальше знаменитого Бабушкина, усовершенствовав его запатентованную технологию «люби» Гусей до статуса на«люби» Гусей.

Впрочем, как известно – сколько людей, столько и мнений. Моё мнение вы теперь знаете: я считаю, что это очередной способ срубить бабла без напряга… А что – приходит товарищ лектор в группу, в которой 10 человек, и рассказывает им сказки на темы: «Страхование, Восстановление и реконструкция». Потом совместно с группой происходит «Выбор здания для хранения резервной информации», а в выбранном здании можно предаться такому приятному занятию, как «Тестирование и пересмотр плана» (про какой план в данном случае идёт речь – пока непонятно). Да-да, и всё это есть в части № 7 данного курса. Не совсем понятно, как это относится к информационной безопасности, но занимательно. И прибыльно – уже 10 человек (1 группа) принесут 144 000 грн. (540 тыс. руб.), а ведь таких групп может быть 2, 3, или …

Особо занимательным я считаю «Проведение опросов и допросов» (часть 8), непонятно, почему в учебный курс не включены допросы с пристрастием и пытки резиновой дубинкой/паяльником/утюгом/тупым предметом.

Конечно, было бы смешно, если б не было так грустно, ведь темы вирусов, руткитов, эксплоитов, поиска уязвимостей, программирования систем безопасности, устройства операционных систем, реверс-инженерии, безопасности баз данных и очень многие другие важные темы не то, что не освящены, а даже не упоминаются в курсе.

Мне интересно, какую безопасность могут обеспечить такие специалисты?

Забанили “Причина: размещает рекламные посты в профильных хабах”. Ну и фиг сними.

Странно, я бы сказал: “реклама - это последнее, на что был похож этот пост”.

Когда постишь туда бред полный так это норм, а как что то нормальное. Так сразу бан. Хабр уже не торт.

Реклама бывает разная, эту тему видимо какой-то чудик причислил к чёрному пиару.

Что касается темы, то она очень специфична и понятна только тем, кто в теме. На самом деле там такой распил бабла идет, что мама не горюй. А то что мы выложили, это даже не капля в море, это так, пердёж молекулы. Хотя тема, скажу честно, не очень удачно была подобрана. И в принципе, такой исход вполне ожидаем.

Распил как распил, туда вроде бы государственные деньге не вкидывают, а вот развод неосведомленных, это точно. Сам, на практике познал. :frowning:

С того, что я понял - есть безопасники со стажем, и их устраивает такой расклад, т.к. они в своё время вкинули бабло за сертификацию циски, за курсы, за обучение, и теперь отжимают его у работодателей. Им не то, чтоб не нужно якобы “разоблачение” таких вот курсов, они просто в приницпе по-другому предмет безопасности себе не представляют. И есть молодые “будущие безопасники”, которые наслушались старых, и тоже этот положение вещей по-другому не видят. И знаете, раз это всех устраивает - и работодателей, и самих специалистов, то, хрен с ними, пусть так оно и будет. Пусть стригут друг друга на денюжку и радуются.

Развод неосведомленных - это только малая часть. Большая часть всего того, что касается “Информационной Безопасности” - это один большой распил! Так как в основном вся безопасность строится только на бумаге, поскольку те кто “строит” эту безопасность, либо очень далекие люди от IT-Security, либо не хотят тратиться, либо не имеют квалифицированно персонала для проведения соответствующих мероприятий (пентест, исследования).

Нормальная схема по обеспечению “Информационной Безопасности” должна работать так (грубо):

  • Менеджеры Информационной Безопасности, генерируют соответствующую макулатуру (риски, угрозы, политики, требования для соответствия стандартам).
  • Служба Безопасности Объекта (Предприятия, Структуры, Учреждения), должна обеспечить физическую безопасность охраняемого объекта.
  • Специалисты Информационной Безопасности, должны провести “стрес-тестирование” информационных (пентест) и физических объектов (соц. инженерия), исследовать (Research) информационные объекты на потенциальные уязвимости. При нахождении изъянов у физических объектов, представить шаги по их ликвидации (проведение различных лекций, тренингов и курсов для персонала защищаемого объекта). При нахождение изъянов в информационных объектах, сообщить сопровождающему их персоналу и если они сами не могут решить обнаруженные проблемы, помочь в их устранении. Составить отчет для руководства защищаемого объекта.
  • Интеграторы, должны проверить защищаемый объект на соответствие запрашиваемых стандартов. И выдать соответствующие бумажки, что все ОК - можете работать.

На самом же деле все работает так:

  • Менеджеры Информационной Безопасности, генерируют соответствующую макулатуру (риски, угрозы, политики, требования для соответствия стандартам).
  • Служба Безопасности Объекта (Предприятия, Структуры, Учреждения), обеспечивает физическую безопасность охраняемого объекта.
  • Интеграторы, проверяют защищаемый объект на соответствие запрашиваемых стандартов. И выдают соответствующие бумажки, что все ОК - можете работать.

То есть, от сюда выпадает один из самых главных и самых затратных элементов “Специалисты Информационной Безопасности”, без которых, собственно, и защиты-то никакой нет. Но самое интересное, что денег с тебя сгребут столько, сколько было бы потрачено на этих самых “Специалистов ИБ”. В качестве же результатов деятельности “Специалистов ИБ” будут представлены, в лучшем случае, результаты работы какого-нибудь известного сканера-уязвимостей.

Ну, и от таких вот мероприятий по обеспечению безопасности кормится множество структур, в том числе и ГОС.

Как кто-то правильно сказал в твитере: А Король то оказывается голый, с вашей-то защитой.

Безопасники со стажем, это в основном дядьки которые живут понятиями 80-90 годов, когда IT-сфера только зарождалась. Тогда все что нужно было проводить для обеспечения безопасности - это иметь хорошее подразделение СБ (Службы безопасности) и контролировать периметр охраняемого объекта. Тоже самое они делают и сейчас, но ВРЕМЯ-то, ВРЕМЯ, Ёпт, изменилось!! Сейчас то основная угроза исходит от информационных активов…

Про голого короля я на хабре писал в первой статье http://habrahabr.ru/post/169491/
Ну и последнюю статью выпилили вместе со мной http://savepearlharbor.com/?p=170869
Теперья второй раз бане на хабре ).

Прямо послушаешь вас и начинаешь еще больше хэйтерить это загончик для б-г избранных…

Мне кажется что запоститься на хабре сейчас стало мейнстримом. Какая разница где будет информация - Интернет о ней узнает. Понравился бложик http://savepearlharbor.com

090h даешь свой хабр!хакербобр там, или еще как то.

Недавно наткнулся на такую тему. МВА (Магистр делового администрирования) по специализации Информационная безопасность.

Школа IT-менеджмента Экономического факультета РАНХиГС (Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации) начала обучение по программе «МВА Информационная безопасность (CSO - Chief Security Officer)».

Программа «МВА Информационная безопасность (CSO)» является первой в России программой МВА по направлению информационная безопасность. Курсы специализации программы МВА прошли согласование во ФСТЭК России. По окончании обучения выпускник получает диплом МВА по специализации Информационная безопасность.

Новые реалии требуют новых кадров. Теперь уже недостаточно только технического образования, так же как и только «защитного». От CSO (Chief Security Officer) требуются стратегическое мышление, понимание бизнес – процессов, фундаментальные управленческие знания, лидерские качества и умение разговаривать с бизнесом на его языке.

http://www.itmane.ru/mba-cso

Такие дела.

Вообще,если посмотреть здраво,то сейчас мир всё больше становиться похож на виртуальные игры…
Вот пример который я в своей жизни проверил-и к сожалению,он рабочий =(
Поступить в ВУЗ (государственный),контракт- “Нужно больше золота…” ~21388.29 RUB (5500 грн).
Сдать сессию\практику\диплом етц.- Принести артефакт “Арарат 5 звезд” или “Нужно больше золота…” по договору…
Поступить на роботу- принести сборный сет артифактов “Диплом aka КорочкА”+любые артефакты из категории горючих+дружить с старейшиной\вождём\царьком\етц сего замка (пардон,предприятия).
А учат ерунде (хотя и не везде и не все…).
При таком раскладе,проще самому выучить и просто купить артефакты себе нужные…