Работал около года на подготовке к ISO27001 и после неё. Отказался от этой работы, так как мне её дополнительно не оплачивали. С одной стороны было интересно, с другой стороны - слишком много бумажной работы. Сочинения я только в детстве писать любил, сейчас лень. Никогда больше в таком объёме на английском ничего не писал.
Security bump
>>161857
1. Надо было пилить тред не ИБ, а комплексной безопасности.
2. Компьютерная безопасность и линия 152фз- относительно некрупная часть ИБ, в которую умеет каждый надрочившийся дурак.
3. ИБшник без допуска к секретке и погон- плохой, негодный ИБшник.
Тащемта, все.
Пилю прохладную, есть две вышки по специальности "Защита информаций" обучался в ДС2, плюс служба в рядах ВС РФ, дослужился до лейтенанта. В моем мухосранске в ХМАО, я нахуй никому не нужен. Либо спрашивают опыт работы, либо с улицы не берут! Проработал год в банке, было люто интересно, но получая 17 тыс рублей, интерес сильно пропал, проживая в нефтяной столице, сменил род деятельности, вот такая печаль, жаль проебанного времени и средств!
>>163722
>есть две вышки по специальности "Защита информаций"
Как успел? Бонч?
>дослужился до лейтенанта
Точнее, человек с вышкой лейтенанта получает на автомате.
>жаль проебанного времени и средств!
Бстм мвд, всякие там ото и прочие подразделения кгб- хули не вариант то?
Че умеешь в целом? 2 вышки- интересно, ну а чего в банке то делал? Випнеты с континентами дрочил?
бамп
>>163747
>Как успел? Бонч?
ИТМО, БИТ
>Бстм мвд, всякие там ото и прочие подразделения кгб- хули не вариант то?
Много чего от настройки Континета, до Сиске, сертификаты и прочая работа.
В коорпораций очень сложно устроиться, ибо места там распределены с рождения. В органах так же, пилися в ФСО и ФСБ, все печально, ананоль унижал отдел К на конфах в своем городе, засветился, но с работой печально именно в финасовом плане, сейчас сам себе работодательно, но не стабильно нихуа, может за месяц 300к упасть, а можно лапу соснуть
>>163866
Чем сейчас занимаешься? кардишь, сука?
В стс нпи и технические каналы утечки умеешь? Допуски есть?
Что про итмо скажешь? Я книжку их читал, каторин-разумовский, пишут дельно, но до хорева не тянут.
>>163928
>Чем сейчас занимаешься?
Пентестинг, вламываю вай-фай сеточки различных предприятий, банков, там как карта упадет, потом жантажирую прошу компенсацию, ну так ковыряю иногда ДБО Bssys, ЦФТ ради фана, во время работ в банке только и жил за счет полученных выплат от них.
>В стс нпи и технические каналы утечки умеешь?
Работал по закладкам, остальное в теорий
>Допуски есть?
Есть второй допуск с грифом дел совершенно секретно
>Что про итмо скажешь?
Нормальный ВУЗ, но лучше идти на ИТиП, вот там задрачивают, а так жаль времени на учебу лучше дальше кардил, как в школьные года
>>164023
>Пентестинг
О как. И что, ты прямо хакер такой? Чего взламывать умеешь? Это как ты там wifi ломаешь?
>Работал по закладкам
Устанавливал или снимал?
>второй
С сс работал, или просто допуск имел?
>>164141
>О как. И что, ты прямо хакер такой? Чего взламывать умеешь? Это как ты там wifi ломаешь?
Не хакер, но в студенческие годы упарывался CTF, так что какие-то знания, умения и опыт есть. В работе использую Lenova x230(Kali linux ), wi-fi карточку от ALFA.
>Устанавливал или снимал?
Все вместе, работал на предвыборной компаний местных депутатов...
>второй
Ознакамливался, но срок уже прошел, паспорт на руках
Посоны, как стать пентестером?
Работаю сисадмином, могу в погромирование (js, php).
Что нужно чтобы попасть, помимо везения?
>>164322
>В работе использую Lenova x230(Kali linux ), wi-fi карточку от ALFA.
Ну хуй знает, чего там ломать то без мощностей своих? Или кластер дома держишь?
>предвыборной компаний местных депутатов
ггг, аналогично, было дело. Но мой депутат зафейлился, потому профита я поимел мало.
Давай мыльцо свое оставляй.
Аноны, че делать, закончил бакалавриат вечерку по комплексной защите объектов информатизации.За плечами программно-аппаратные средства АС и ВТ. Ищу дальше куда поступать - везде магистратура на технические специальности очка. Работаю параллельно, терять работу не хочется. Кто сталкивался с таким траблом?
>>164487
Московский энергетический, факультет безопасности бизнеса.
>>163709
Перед окончанием вузика приходили веселые дяденьки из ФСО и беседовали с нами (ЗИшниками). Там всего наших 4-5 человек было и ещё пару с курса. Одному вроде как зеленый свет дали и бумажки собирает, хотя на тестах может и завалится, а так все как обычно - нищезарплата в мухосрани с доступом к секретке.
>>163722
Продрочился бы год-полтора типа для стажа, в ДС понаехал бы. Мож побохаче бы стал.
>>163722
А вообще как в банк устраивался? Как собеседование проводили, что спрашивали?
>>164023
>Пентестинг
Как задрачивал? Небось СПИЦИАЛИСЬТА с рутрекера глядел? На пентестит курсы проходил? Мне интересно, т.к сам позадрачивать хочу, какие рекомендации дашь?
>>163709
>ИБшник без допуска к секретке и погон- плохой, негодный ИБшник.
С чего бы?
>>164322
>Ознакамливался, но срок уже прошел, паспорт на руках
Вангую, тебе лет 25-26.
>>164662
Базовые вопросы по ИБ, модель угроз, устройство сетей, проверка по психологическим тестам, проверка эконом. безапосностью на счет судимостей меня и моей родни (в НБКИ очень много чего можно копнуть)
>>164664
http://mslc.ctf.su - это все должно объяснить
http://mslc.ctf.su
>>164688
Очень интересно, что за псих. тесты. Неужели СМИЛ (MMPI) на 500 с чем-то вопросов? Или просто тесты Роршаха и Люшера?
Анон, пойми и прости, сам только свежий выпускничок, готовый ИБашить за еду, так что интересно как принимают.
Итмо бит. На данный момент - аттестация+сертификация. Хочу мультикласснуться в пентест. Спрашивайте ответы по образованию/работе.
Пентест насколько я понимаю включает в себя такие разделы, как:
1. Web – понимание как работают веб-приложения, знание типовых уязвимостей (sql/xss/etc...);
2. Crypto – понимание работы распространенных крипто-алгоритмов и как их можно криво использовать, чтобы было небезопасно;
3. Coding – программирование, умение закодить какой-либо алгоритм;
4. Network – умение работать с дампами трафика и извлекать какую-либо информацию оттуда и работа с сервисами, которые висят в сети;
5. Reversing – умение раздизасмить бинарник и понять как он работает;
6. Binary exploitation – эксплуатация уязвимостей в бинарнике;
7. Forensic – криминалистика, извлечение спрятанной информации;
8. Social Engineering – владение навыками социальной инженерии;
9. Freaking – умение хакать железки;
10. OS – уязвимости различных операционных систем.
При этом нужно действительно разбираться в этом комплексно, то есть быть мастером на все руки.
>>164777
Какой опыт по спецухе? Расскажи про свои первые деньки на работе, были какие проекты КСЗИ? Ты по бумажкам или ещё могёшь в сети?
>>164818
>Какой опыт по спецухе? Расскажи про свои первые деньки на работе, были какие проекты КСЗИ? Ты по бумажкам или ещё могёшь в сети?
БыстроапдейтСам ОиТЗИ сыч с мухосрани.
>>164787
В принципе, да, сферический проникальщик в вакууме. По хорошему, при поступлении в вузик по ИБ уже надо начинать вникать во все это самому, но кто ж знает.
>>164665
Потому что для реализации грамотной защиты нужно понимание всех методов и средств, которым необходимо противостоять. В то же время, вся новая и особо интересная информация проходит как секретка или дсп, что осложняет ситуацию, не говоря о довлении государства на линию гражданской ЗИ.
В итоге имеем примерно такую хуйню- рабочие машины на интеле с бэкдорами, сетевая инфраструктура- на ничем не лучшей циске, на ней же ставим ололо фаервол и типа дохуя безопасно. Отдельный случай- эти ваши випнеты, с ослабленными таблицами замены в госте и типа гарантией отсутствия ндв, а так же винда с критическими уязвимостями, на латание которых фстэк добро еще не дал. Далее по списку перечислять не вижу смысла, кто знает- тот поймет.
>>164688
>НБКИ
Нормальные посоны прогоняют по цори и гиац. Походу, либо у вас там говнобанк, либо ты сам не в курсах, кто и как кого подсвечивает.
Алсо, хули полиграф не проходил?
>>164767
>роршах, люшер
Применяются как дополнение к смил, толку непосредственно от них мало, правильные ответы тупо зазубриваются.
>смил
Если почитать литературу и вникнуть в суть- можно вполне себе моделировать различные типы личностей, причем LFK будут в порядке. Из минусов- начинаешь делать это постоянно и неосознанно, в итоге диагностика по твоему смилу будет занятием бессмысленным.
>>164777
Что значит
>на данный момент аттестация+сертификация.
>сертификация
как понять, ты ПО, железо или что сертифицируешь вообще?
Надумал стратегию развития годных ИБшников - пару годков в структурах(апая свои тех. знания и ЧСВ, попутно апая инглиш и основы менеджмента), потом уже по банкам и тд суваться и задрачивать менеджмент или к Сачкову под крыло. ИТОГО ИЗИ ВИН. ГГ ВП.
>>165287
Есть вариант лучше- пару-тройку десятков лет в структурах, потом отдыхать.
>>165287
А я пожалуй поддержу. Только в каких, если в армию по здоровью не берут, а сейчас обязаловка для силовиков.
О БОЖЕ ПОСМОТРИТЕ НА НЕГО, ПЕТУХ В ИБ ПОЛЕЗ, В АРМИИ НЕ СЛУЖИЛ - НЕ ХАКЕР АЗАЗАЗАЗА, ладно простите
>>165401
Такой же, бро. Было бы здоровье, было бы все легче.
Подкиньте чтоль годной лит-ры почитать на досуге по спецухе
Что скажите за сертификации? Надо ли?
CСNAsec, CISSP, CEH?
>>166070
Для топ ИБшников управленцев/аудиторов надо. Но в Мухосрани это нахуй не надо.
>>166076
надо в каком смысле? что без них тебя не сделают топом, если будут хотеть или если ты будешь иметь серт, то тебя будут делать топом?
Год назад закончил по специальности "Организация и технология защиты информации" в ДС3 - в итоге нахуй никому не нужен.
За всё время только 2 собеседования проходил - была ахуенная возможность в Банк пройти, но видимо из-за того что есть военник не взяли - я так понимаю в этой сфере "негласно" берут только отслуживших либо с военной кафедрой?
>>166151
Тоже создалось впечатление, что служивых чаще берут. Наверняка же ИБшников распределяют в войска связи (влажные мечты) или покруче, если здоровье позволяет. Но и все же какой шанс, что тебя в пехтуру не отправят, где тебе только и надо добежать из точки А до точки Б и не сдохнуть. Тогда чем служивая пехтура-ИБшник превосходит в знаниях не служивого ИБшника? Ничем. Сам начинаю подбугурчивать из-за того, Что не служил.
В крупных организациях Рашки в СБ сидят в основном бывшая ментура и военщина - а именно они в итоге набирают и отбирают кандидатов в ИБ.
А ситуация складывается следующая, что в мелких и средних организациях (кроме ДСов) роль ИБшника выполняет какой нибудь сисадмин.
Вот и не нужен я никому нахуй со своим дипломом в итоге, ну как и двадвать два моих одногруппника - кто куда подался.
Блядь, а ведь в 2008 году для меня так перспективна казалась эта отрасль - я здраво оценивал, что информация со временем станет самым ценным ресурсом и будут направлены все силы на ее хранение. Вот только мой неокрепший ум не осозновал, что всё действие происходит в сраной Рашке, которая живёт принципами 20-летней давности.
Тьфу!
>>166176
Быстроап
Хотя все относительно, перед выпуском одного паренька позвали в ЦССИ, хотя сам он ограничено годен.
>>166151
>берут только отслуживших либо с военной кафедрой
Нет, очень поверхностное суждение
>предпочтут человека, закончившего соотв. кафедру, работавшего длительное время в органах, имевшего доступ к секретке и сохранившего связи.
Вот такого возьмут, у него преимущество. Остальные по сути не нужны, за редким исключением, так что настрой випнет, настрой випнет еще раз, блеать.
>ДС3
Нет такого, дурашка. ИБ есть только в ДС, ДС2 и различного рода ЗАТО.
>ИБшников распределяют в войска связи
Ибшники заканчивают военную кафедру и получают лейтенанта. Остальные откупаются и откашивают, и идут совсем другими путями.
>Вот и не нужен я никому нахуй со своим дипломом в итоге
Нахуй твой диплом хорош, ты че конкретно умеешь делать? Защиту нормальную сможешь поставить, чтоб в сеть никто не прополз? Или взломать чего? Или подслушать? Чего конкретно то умеешь, говори уже.
>>166179
>ЦССИ
Есть такая вещь, как гражданский персонал, неаттестованный, там вообще плевать, годен ты или нет.
>>166182
Чего я тебе блядь булу уметь, если мне негде эти знания применить без опыта? Дома чтоле защиту настроить мамке на кампуктер или что?
Естественно у меня в голове дохуя теории и базисов на основе которых можно всё это сделать, но как я могу сказать тебе, что что-то умею, если мне негде даже попробовать это сделать, ммм?
Ты сам то как начинал?
В общем, если не служил, а ИБать и ЗИшить хочется, то делается всё сами знаете как, главное знать имена.
>>166184
Ты 5 лет обучался ИБ. Теперь скажи, умеешь ли ты обеспечивать защиту объекта? А защиту какого рода, компьютерную или комплексную? Конкретно в какие системы безопасности можешь? А во что еще? А в юридическую-кадровую-физическую? А в оперативную работу? Хорошо, защита есть, а в нападение умеешь? Что сможешь взломать и сломать? А информацию с каких каналов снять? А закладку куда поставишь? А сам сваяешь, если купить негде? А заниматься то чем хочешь?
>>166187
Ебать ты припизданутый, ты как в воркач то попал?
Не удивлюсь если это какой нибудь мамкин шизоид-безопасник, али сын бати-полковника, который его устроил провода класть в штабе.
>>166184
>Чего я тебе блядь булу уметь, если мне негде эти знания применить без опыта?
Пентест. Правда, как уже сам знаешь, в вузах ничему как таковому не учат, если не просек сам раньше, что и как требуется от тебя в будущем, то все очень печально. Поэтому и нахуй никому не нужн, потому что только випнетики и бумажки писать можешь. Сам только что отучился в мухосрани, ниразу ничего про атаку не рассказывали, только в общих чертах, что такая херь есть. Если хочешь изменить положение, то начинай прямо сейчас с CEH хотя бы и программируй, программируй, программируй.
ОП
>>166191
Понимаешь, у меня большой упор был на методологию - и есть ощущение, что в принципе потребность то в этом есть - многие организашки ебут за корявые документы.
Модель безопасности, частная модель угроз, политика безопасности - вот это моё, понимаешь? Но даже на это спроса нет, хотя бумажки то писать всем влом и за это ебать должны... но всем похуй
>>166190
Тебя это ебать не должно, не переводи разговор с темы, а говори конкретно, чего умеешь. Или тебе поныть надо о жизни своей нещщастной?
>Пентест
>программируй
Вот таким ребятам универы нахуй не нужны, толку от них в РФ нет. Все мои знакомые кодеры, которые умеют в эту тему, обучались исключительно сами, и точка.
>>166195
Братюнь, сам ОиТЗИ, но прозревший, что кроме бумажек, надо уметь ещё во что-то.
>>166199
>КСЗИ check
Маладца
>ULAN
Ок.
>KM-3
Нахуя оно надо?
>LKZ
Ок.
>Белан
Ок ок!
>АСК
Хз что такое
И почему нет НЛ, поискового на оптику, рентгена? А что по радиомониторингу, белана хватает? Он умеет в разнесенку и аналитику? Вообще, несколько странный выбор аппаратуры, не хуй популярный.
>>166208
>И почему нет НЛ, поискового на оптику, рентгена? А что по радиомониторингу, белана хватает? Он умеет в разнесенку и аналитику? Вообще, несколько странный выбор аппаратуры, не хуй популярный.
Ответ прост - это мухосранский вузик, рядом не стоявший с ИКСИ и Бауманкой, что показали, хоть на том спасибо. По Белану вообще днищелаба на детект вифи,гсм,блютуса и радиостанций, лол. Извиняй товарищ майор.
>>166202
>Братюнь, сам ОиТЗИ, но прозревший, что кроме бумажек, надо уметь ещё во что-то.
ОП
>>166217
>По Белану вообще днищелаба на детект вифи,гсм,блютуса и радиостанций, лол.
<=
Брали бы сканер, 8200 там какой, подрубали б к радиоинспектор+ и няшнота же.
>кроме бумажек, надо уметь ещё во что-то.
Вот это дико двачую, безопасник- либо человек с живым мозгом, работающей изобреталкой и нестереотипным мышлением, либо макака, такие дела.
И, да, хули майор то сразу? Я не майор.
>>163747
Пролистнул вверх
>>дослужился до лейтенанта
>>Точнее, человек с вышкой лейтенанта получает на автомате.
А вот и нихуя, если военной кафедры нет, то сосешь хуй.
Ну пиздец, теперь ещё больше бомблю от того, что в армию по здоровью не взяли...
прозревший ОП
Кстати, в тему программирования, а собственно на чем программировать то? Какие языки котируются в ИБ?
Я так понимаю java, js, PHP ибо на них хренова туча сайтов движется и CMS на них крутятся. Если рассматривать безопасность сайтов, то, наверное круто, когда ты шаришь и что-то можешь поправить, а если атакуешь, вообще красота.
А как на счет C\C++. Сомнительно конечно, но мне почему-то кажется, что тоже востребованы, ололо превод на отечественное производство, сертифицированные шлюза, ОС, андроиды, низкоуровневое дерьмо, но не ассемблер, среднего уровня, однако тоже кто-то должен заниматься, как считаете?
>>166280
Лол, охуел без ассемблера?)
Реверс же, святая святых.
Тем временем Анатолич утвердил ПП-758, от которого у всех начали рваться пердаки, лол.
>>166280
>Какие языки котируются в ИБ?
Смотря во что хочешь, но программач стандартный: PHP(со знанием HTML + CSS + XML конечно же), Python, Ruby (ибо дохуя модно стало и в это надо тоже мочь), ну и С++. Если на этом не выдохся и хочешь ещё, то да, ассемблер. Только вот всё это узнать и обкатать на деле уйдет года 2-3 не меньше, попутно пожирая фенотропил и съезжая с катушек.
Когда новый СОРМ посоны?
>>166880
Новый- это какой еще? Съем с телефонки есть, с инторнетов тоже, бд и аналитику намутили, хули еще то запиливать?
Посоны, кто в курсах, сорм3 с цори как сейчас взаимодействует?
Блин ребята. Закончил второй курс ИБ на платке мамка платит с горем пополам и двумя долгами. Вуз МЭСИ. Умею нихуя + я та еще ленивая задница, а практики все еще не давали. Что делать дальше не знаю, бросать или все же закончить. А если и закончу, смогу ли я устоится.. да и чтоб платили нормально
>>167126
Допуски по форме есть?
Чему вас там обучают конкретно, и что по программе? Какие предметы, по какой литературе обучаетесь? Исходя из этого уже можно дать какой-то вывод.
>>167126
А гляди на вакансии в интернетах, изучай, что нужно рынку.
Скорее выбирай направление ИБ организационка, ИТЗИ, сисадминство и сетевая безопасность.
Уточни у преподов, почему не было практики, ну и вообще как понять не было? Политики, положения и тд не писали, с радиомониторингом не работали, шумомерами какую-нить хуйню не изучали, windows AD и домены даже не показывали?
>Допуски по форме есть?
+1 и уточни будут ли, если сам не в курсе.
>>166176
Воннаби ИБшник репортинг ин. Есть несколько моментов, которые необходимо знать студенту при получении диплома по ИБ:
- практически весь рынок ИБшников в ДС - там за это платят и есть рост, в провинции делать нехуй.
- ИБшник должен хорошо уметь либо в железо, либо в софт. Это поможет работать на всяктие конторы, которые делают или продают КСЗИ и системы с ними (в положении о лицензировании таких контор есть жесткие требования к персоналу).
В общем, хочешь работать по ИБ, получай стаж/сертификаты и вали в ДС.
>>167268
Зажравшийся житель ДС не хочет работать в ДС, анон, он хочет в гейропку на ВНЖ.
Учусь шикарно по спецухе ИБ в ДС, задрочу по профильным дисциплинам топово, но мне кажется, что меня чутка не доучивают (лол) для уровня магистратуры Европы и трактора в один конец, деньги на магистратуру достать могу, главное по знаниям не обосраться.
Креакл, к чекистам и прочим педерастам испытываю жесткое отвращение и вообще не хочу иметь ничего общего с этими ребятами, что еще сильнее сужает круг работы. Сама профессия нравится и готов выкладываться на 100%, потихоньку начинаю участвовать в опенсорсах, связанных с криптографией.
Опытные ребятки, покидайте ссылочек на международные котирующиеся сертификаты по ИБ, чтобы можно было начать целенаправленно готовиться к ним, затащить, втащить магистратурку в гейропке и пойти работать в эти ваши ТОР ПРОЖЕКТЫ.
>>167268
>которые делают или продают КСЗИ
>КСЗИ
Скорее СКЗИ, фиксанул тебя, анон.
>>167213
>Скорее выбирай направление ИБ
>организационка, сисадминство и сетевая безопасность
This. Как по отдельности это можно задрачивать не представляю, впадаю в фрустрацию.
>Уточни у преподов, почему не было практики
Как раз с 3его курса всё только начинается по профилю.
Мимо ОП
Братаны, помогите. Нужна система с чем-то типа пейджера, чтобы когда кто-то входит, а человека нет на месте, пейджер тилибонькал. Посоветуйте годных систем, а то я начинающий в этой теме.
>>167278
xz, CISSP, CISM(смотреть на https://www.isaca.org/)
Cisco CCNA Security, и так далее по схеме роста циско(английский и знание сетей)
для контор котируются 2700* серия и COBIT, ну ты понял, что направление может пригодиться.
>>167420
Допустим, любая gsm сигналка, самая простая.
Вот тот же сибарсенал
http://www.arsenal-sib.ru/products/individualnaja_ohrana/gsm_signalizacija/express_gsm_ver2.php
Ставишь в комнату или коридор, прописываешь номер чела, покупаешь брелок.
Уходишь- брелком ставишь на охрану- кто-то зашел- тебе пришел звонок с оповещением или смс.
Подходит?
Просыпайся тред! Давай ещё чего обсудим.
Я попиздеть готов хоть за иб, хоть за кб, хоть за орд, сами же молчите.
так расскажи нам кулстори как попал в эту сферу, чо по началу делал и т.п.
Случай частный, морали и выводов в себе не несет, а смысла охуительные истории рассказывать не вижу.
Сам лучше расскажи, а мы послушаем.
Учился на ИБ. Внедрял ИБ и SoX на одной работе. Устроился в big4, аудирую ИБ и тд. Скоро переезжаю в Гейропу.
Что за вуз? Навыки чисто в компьютерной безопасности, или умеешь в иб?
>вуз
Новосибирский государственный технический универ
SoX требует комплексного подхода, потому именно ИБ. А вот именно нюансы компьютерной безопасности я уже и подзабыл, файрвол в линуксе не настрою, IDS/IPS не сконфигурирую, honeypot никогда не ставил. Я больше с организационной частью знаком, хотя в универе сто лет назад учили всему комплексно. Нааудировал уже с сотню ИТ систем банков, крупных и мелких организаций, и всяких аэропортов.
А что за SoX, расскажи?
Чем сейчас конкретно занимаешься, по какой линии аудит и что в себя включает?
>А что за SoX, расскажи?
Sorbanes-Oxley Act - это такое американское требование которое распространяется на все публичные компании (т.е. те у кого акции в свободном обороте, типа PLC, аналог наших ОАО) в США.
Суть требования - компания должна ежегодно проходить аудит бизнес-процессов влияющих на финансовую отчётность, так как мы живём в 21 веке, то вся бухгалтерия реализована в ИТ (бумажные головные бухгалтерские книги я давно не видел).
Представь, что анон организовал компанию DVACH PLC, стал её акционером и нанял себе CEO по имени Abu Ananenkoff. Анон ссыт, что СЕО пиздит про низкую выручку и сам себе в карман кладёт прибыль с продажи пасскодов.
Анон решил нанять аудиторскую компанию AntoineCirnoTouhoupers (здесь и далее ACT), чтобы они проверили все бизнеспроцессы и транзакции компании за прошедший финансовый год. Фин аудиторам ACT лень проверять все транзакции, так как DVACH PLC продаёт 4 миллиарда пасскодов в год, каждый не проверишь. Поэтому аудиторы решают проверить вдруг часть процессов идёт в автоматическом режиме, и вообще в безопасной ИТ среде, если всё заебись то можно проверять не 100% всех проводок, а выбрать по две каждый месяц (например). Фин аудиторы приглашают ИТ аудитора на подмогу. Фин аудитор делает дохуя проверок типа, начиная от организации физической безопасности в здании, учёта всех принятых уволенных сотрудников, проверка изменений в инфраструктуре, что делают разработчики, не встраивают ли они бэкдоры, и отрабатывает ли свой хлеб ISO в DVACH PLC. Проверок много, имя им легион.
По завершению ИТ аудитор делает заключение с найденными дырами (размером с твою маму) и отправляет их CIO компании для комментариев. Потом отчёт прикрепляется к делу, и параллельно отдаётся фин аудиторам. Фин аудиторы плюются, что, так как в компании CIO и ISO распиздяи, то придётся делать не 100% выборки а аж 146%, проклинают бесполезный труд ИТ аудитора и идут работать 24 часа в сутки так как дедлайн был уже вчера; потом благополучно умирают от переутомления.
Если интересуют прочие подробности нашей работы, - добро пожаловать в уютный тред https://2ch.hk/wrk/res/121380.html
>Чем сейчас конкретно занимаешься, по какой линии аудит и что в себя включает?
Но я уже немного отошёл от этой темы и сейчас занимаюсь в большей степени проверками на лицензионное соответствие. Так, что если к вам в гости нагрянет гость с проверкой ПО MS, Oracle, HP, IBM, SAP, Autrodesk, IMAX, SUSE, Redhat и тд, то с ненулевой вероятностью это могу быть я.
big4-кун, расскажи про свою раннюю карьеру, у кого батрачил? Как вырвался в люди?
безработный ОПчик в мухосрани
безработный ОПчик в мухосрани
Вообще, как рекомендуете искать первую работу? Не ходить просто к HR-курицам, надо что-то поэффективнее, например думаю выманивать на разговор начальников отделов по ИБ или ИТ или их замов и вести разговор с ними.
>big4-кун, расскажи про свою раннюю карьеру, у кого батрачил? Как вырвался в люди?
- На последних курсах работал в начале в новосибирске в техподдержке по телефону в ит, там выдрочил английский (считаю, что это самое важное что я сделал).
- После увольнения (причина: невыносимый посменный график) долго сидела без работы, но вдруг нашёл позицию в одной достаточно большой всероссийской компании со штабквартирой в новосибе. Там нужно было шарить в ИБ и знать английский, тк компания должна была привести все бизнес-процессы и инфраструктуру к требованиям SOX (компания была в стадии поглощения иностранным гигантом). Пару лет приводил эту компанию в порядок, принимал аудиты большой четвёрки. После успешного завершения поглащения всех поблагодарили и выгнали на мороз, впрочем, не без хорошей компенсации.
- Полгода сидел без работы. В один день начал искать новую работу на НН, ничего не мог найти, и решил поискать на английском языке, и нашёл позицию в которой был описан я, по всем параметрам и по опыту и по направлению и т. д. В эту компанию биг4 и устроился и переехал в Мск.
Решающим фактором был английский язык, почти во всех случаях. Зная язык ты открываешь целую новую область куда можно сунуться.
>Вообще, как рекомендуете искать первую работу?
во всём мире, и в рашке тоже, самым эффективным методом является нетворкинг он же - связи. Спроси у знакомых, кто кому нужен и тд. Я настоятельно рекомендую идти в штабквартиры больших компаний, хоть интерном. Там наработаешь и связи и опыт, и начнёшь понимать как работает индустрия. И в резюме лучше звучат громкие названия, а это почему-то сильно ебёт кадровиков, которые проводят скрининг. Наличие западного образования, кстати, никого не ебёт, лол.
Вообще место уже ищут для меня параллельно не 1 и не 2 человека, тем более не Васи Пупкины, а вполне себе уважаемые знакомые, но я что-то не верю, что хоть что-то найдется стоящее, т.е не конторки по типу установим Випнетик, он безопансый кококо, а именно где идёт управление бизнесс-процессами и активный напор на ИБ и КБ.
Пока сам нашел вакансию по КБ, поговорил с курой-кадровичкой и типа ждите ближе к концу месяца, у нас ещё нихуя не известно, кругом перестановки.
Из-за этого готов стать понаехашим.
>Из-за этого готов стать понаехашим.
даже не раздумывай - понаезжай. В Мск всегда кадровый голод. Тем более сейчас, когда демографическая яма, и весь молодняк тупой. У тебя есть 5 лет.
Под штаб-квартиры региональные подойдут только 2 объекта: вездесущий Ростелеком и одна топ-3 промышленная компания, в которую вход только по приглашениям и через анальные боли.
в ростелекоме хуй куда пробъёшься, там внутренняя конкуренция. Рекомендую понаезжать туда где головные офисы.
Расскажи что сам умеешь-то, и чего хочешь.
http://www.rb.ru/inform/119447.html
Ищи свой мухосранск или ближайшие и смело стучись к ним. Что-нибудь да найдешь.
p.s. Все компании моего региона из этого списка имеют отделы иб (работаю в региональном интеграторе, а эти компании из списка наши заказчики).
Ищи свой мухосранск или ближайшие и смело стучись к ним. Что-нибудь да найдешь.
p.s. Все компании моего региона из этого списка имеют отделы иб (работаю в региональном интеграторе, а эти компании из списка наши заказчики).
Интересная тема, но, я так понял, тут как минимум 70%- экономическая безопасность, а вот линия ИБ жестко порезана.
Вопрос такого рода: вот смотри, все серьезные ОАО имеют свою СБ, а то и карманный ЧОП. Хули они справиться не могут? И еще, руководство компаний не охуевает от того, что вынуждено предоставлять горы корпоративной тайны в абсолютно левые руки? Бывают ли утечки со стороны аудитора? А намеренное внедрение закладок и каналов утечки? Сотрудничество со спецслужбами?
Расскажи, а каким образом проходят эти проверки? А почему бы вас просто не послать нахуй? А если ПО используется на неком заводе ЛенХимСпектр, где даже у ебаных уборщиц 3 форма допуска- хули с ним делать, туда же все равно никого не допустят, кроме фстэковцев?
>английский язык
Долго учил? Сколько времени уделял?
Всё это писал ОП, умею в организационку и бумажки, немного в итзи (по части выявления закладок больше нравится, хотя 2 курсача были по видео), немного в крипту, немного в кали. 2 недели назад поставил цель выучить Питон и написать несколько парсеров, а так же написать шифратор с известными мне алгоритмами чисто для себя, чтобы доказать себе, что я могу.
Хочу прежде всего понять как ИБ устроена в реале в серьёзных организациях на практике, а не в книжной теории. Вообще мечу в банки на должность хотя бы помощника специалиста по ИБ.
Всё это про работу, конечно же
быстрофикс
>Интересная тема, но, я так понял, тут как минимум 70%- экономическая безопасность
По-умному это называется проверкой финансовой отчётности на возможность наличия ошибок (finansial mistatement по-английски), само собой в первую очередь чисто финансовая штука. Но, хочу сказать очень важную вещь, есть одна большая беда среди айтишников и, в меньшей степени ИБшников, многие не понимают зачем они обеспечивают безопасность. Они просто живут в своём мире и считают что нужно всё на свете защитить по-айтишному, и совершенно не понимают что именно происходит внутри систем которые они защищают. На каждом аудите сталкиваюсь с такими "профессионалами".
>а вот линия ИБ жестко порезана.
она действительно проверяется не на таком уровне, как описывает уязвимости журнал хакер, тут я не буду спорить. Но важно понимать что именно ИТ аудитор проверяет, и почему именно это важно для бизнеса.
>Вопрос такого рода: вот смотри, все серьезные ОАО имеют свою СБ, а то и карманный ЧОП. Хули они справиться не могут?
Внешний аудит на то и внешний, что должен быть проведён независимым финансовым аудитором. Независимым от менеджмента компании CO уровня. Внутренний аудит они могут проводить как хотят.
>Расскажи, а каким образом проходят эти проверки?
Когда ты устанавливаешь ПО, или покупаешь его через дистрибьютора, там есть аналог End User License Agreement где ты галочку ставишь, что согласен со всем на свете. Советую на досуге почитать, на каких условиях ты соглашаешься на аудит. Обычно там сказано, что устанавливая ПО, владелец авторских прав имеет право ежегодно проводить проверку на соответствие лицензионным требованиям при помощи независимого аудитора, чтобы не доебались, что мол, нащитали нам тут, сами небось выдумали, а нам теперь платить. Владелец авторских прав номинирует на аудит своего клиента, отсылает ему письмо с текстом "Даём вам две недели чтобы урегулировать все ваши расхождения, затем "иду на Вы". В случае не покорения рекомендуем перечитать EULA и одуматься, иначе - суд. Спасибо, и мы вас тоже любим."
>А почему бы вас просто не послать нахуй?
пробовали, заканчивалось публичным отзывом лицензий и судом.
>А если ПО используется на неком заводе ЛенХимСпектр, где даже у ебаных уборщиц 3 форма допуска- хули с ним делать, туда же все равно никого не допустят, кроме фстэковцев?
самый ебаный случай, призрнаюсь. Во-первых у аудиторов есть формы допуска, если потребуются. Во вторых, у госзаказчиков гарантом по выполнению лицензионных требований является государство. Так что это не очень красиво будет, какому-нибудь местному начальнику ЛенХимСпектра подосрать вначале региональной власти, а затем и лешиться работы и пенсии. С ними геморойно, но обычно до них быстро доходит, что обнаруженные расхождения для них это очень хорошо - это же можно тендер организовать на покупку ПО за гос деньги. А тендеры у нас в окологос структурах ой как любят. Ну ты понел.
>Долго учил? Сколько времени уделял?
Мне повезло, что он мне хорошо давался в школьные годы. Переводил песенки эменима и блинк182, лол. В техподдержке хорошо прокачал технический словарь и навыки говорения.
а тут у вас уютнее чем в биг4 треде
>Хочу прежде всего понять как ИБ устроена в реале в серьёзных организациях на практике, а не в книжной теории.
В российских банках в большинстве очень хуёво и дыряво, как говорится security through obscurity.
>Вообще мечу в банки на должность хотя бы помощника специалиста по ИБ.
Правильно делаешь, хорошая экспа. Ещё в телекомах неплохо.
Если тебе интересна информбезопасность, всякие там технические низкоуровневые штуки, пентест и прочие шпионские игры, то попробуй интерном пойти в Инфосистемы Джет http://www.jet.msk.su/ .
ладно, я пока пойду фламандский подучу, позже вернусь, минут через 40-50
Big4 анон, вообще от души тебе. Много годной инфы принес.
>На каждом аудите сталкиваюсь с такими "профессионалами".
Потому что айти не надо лезть в ИБ, это суть разные направления мышления и деятельности. По наблюдениям, их максимум- обеспечить софтовую типа безопасность на конкретном участке защиты, полностью проигнорировав комплексный подход.
>End User License Agreement
Реально ли собрать рабочую сеть предприятия на софте, полностью исключающем эти моменты? А есть ли смысл?
>хорошо давался в школьные годы
Сколько языков знаешь? Часто ли бываешь за границей?
И еще- кроме финансовой безопасности и компьютерной в какие еще умеешь? ПДТР, ТЗИ, ИБТКС? Работа с СТС НПИ и использование ТКУИ? ОПС, СВН, прочая инженерка на объекте? Физическая безопасность? Оперативная работа? Аналитика?
Почему в органы не пошел?
>Оперативная работа
Кстати, как начать мочь в это, если не ментил? Криминалистику чтоль почитывать?
На юрфаке дают введение в орд, зависит от препода. Нам попался годный бс, который вместо заебов по нормативке травил кулстори и поучал ньюфагов.
Далее- розыск необходимой литературы, что-то гуглится, что-то достается, при желании можно нарыть дсп, или чего интереснее. Ну и практика ж, епту, работать с людьми можно надрочиться в куче сфер нашей жизни.
Криминалистика- суть другое, почитай на досуге, если интересно.
>Потому что айти не надо лезть в ИБ, это суть разные направления мышления и деятельности.
ох твои слова бы всем да в уши, адекватоанон.
>По наблюдениям, их максимум- обеспечить софтовую типа безопасность на конкретном участке защиты, полностью проигнорировав комплексный подход.
не соглашусь, с философской точки зрения, я считаю, что нужно повышать грамотность всех сотрудников, особенно зазнающихся айтишников. Под повышением грамотности имею ввиду хоть какое-то введение в юридические и финансово-хозяйственные аспекты деятельности. Тк большинство итшников ну совсем не понимают, что такое бизнес, живут как пони на радуге, думают что вокруг все тупее их. (мне припекает, да)
>Реально ли собрать рабочую сеть предприятия на софте, полностью исключающем эти моменты? А есть ли смысл?
да хоть из говна и палок, тут вопрос сугубо ресурсный, во сколько денег и человекочасов обойдётся построение такой системы и будет обходиться обслуживание. Вон правительство гермашки уже думает с линупсов переходить на винду назад, да говорят, дороже, но содержать линупс дорого. Я же считаю, что это всего-лишь инструмент, что сподручнее из того и делай.
>Сколько языков знаешь? Часто ли бываешь за границей?
знаю рус и англ, учу нидерландский. за границей бываю редко. с иностранцами общаюсь чуть ли ни каждый день.
>И еще- кроме финансовой безопасности и компьютерной в какие еще умеешь? ПДТР, ТЗИ, ИБТКС? Работа с СТС НПИ и использование ТКУИ? ОПС, СВН, прочая инженерка на объекте? Физическая безопасность? Оперативная работа? Аналитика?
Аббревиатур твоих не знаю, либо не помню лол, к своему стыду знаю название большинства направлений только на английском (в четвёрках это основной язык в документации). Давай я перечислю, а ты сам подумаешь, что там с чем матчится у тебя: финансовой безопасности практически не знаю, это сугубо бухгалтерская фигня, максимум могу заметить что баланс не сходится, или что дохуя ручных проводок в журнале, умею в business continuity management, disaster recovery, segregation of duties, CCTV, access control systems, physical security & safety. Видеонаблюдением и физической безопасностью занимался года два достаточно плотно. Оперативную работу и аналитику не делал толком, этим обычно занимаются специально обученные ниндзи из отдела Forensic.
>Почему в органы не пошел?
Нахуй надо. Тролишь меня, поди? Там же болото, всю жизнь потом не отмоешься.
биг4-кун
>повышать грамотность всех сотрудников
Сотрудник, умеющий в мультизадачность по разным направлениям и вдобавок любящий учиться- кадр редкий раз, будет требовать дохуя карьерного роста джва, хер с ним совладаешь- три. На линейных должностях имеет смысл держать людей исполнительных, любящих стабильность, подверженных обычным механизмам влияния и манипуляции. Пускай занимается своим делом, развивается в меру сил, выплачивает свои ипотеки и черт то бы с ним. Но мы уже выходим на вопросы кадрового обеспечения и безопасности, что, блеать, еще одна сфера, которую не надо пытаться брать наскоком.
>нидерландский
лол зачем?
>business continuity management, disaster recovery, segregation of duties
Это чото типа бизнес-безопасности и сопровождения? Хз, не углублялся в эту тему.
>CCTV, access control systems, physical security & safety
А вот это вот заебись, работаю втч по этим направлениям. Окромя физической безопасности, глубоко не вникал.
Что подразумеваешь под physical security & safety?
Есть лицензии, опыт? Нач.охраны? Бодигард? Водитель? Инженер? По каким линиям работал? Антитеррор? Обеспечение режима?
>Там же болото, всю жизнь потом не отмоешься.
Смотря, куда, как и кем. Самая Ъ безопасность- там.
>>нидерландский
>лол зачем?
уезжаю работать в бенелюкс ->
>>business continuity management, disaster recovery, segregation of duties
>Это чото типа бизнес-безопасности и сопровождения? Хз, не углублялся в эту тему.
обеспечение непрерывности бизнеса (как вести бизнес если всё пизданулось), действия в случае чрезвычайной ситуации (как чинить то что пизданулось), разделение полномочий (как грамотно резать права у пользователей, чтобы они не фродили).
>Что подразумеваешь под
>physical security
объёмники, микрофоны, герконы, вот это всё
>& safety?
огнетушители, датчики дыма и температуры, сплинклеры
>Есть лицензии, опыт? Нач.охраны? Бодигард? Водитель? Инженер? По каким линиям работал? Антитеррор? Обеспечение режима?
Лицензий нет, опыт есть. Я работаю в большой четвёрке, на всякий случай https://ru.wikipedia.org/wiki/%D0%91%D0%BE%D0%BB%D1%8C%D1%88%D0%B0%D1%8F_%D1%87%D0%B5%D1%82%D0%B2%D1%91%D1%80%D0%BA%D0%B0_(%D0%B0%D1%83%D0%B4%D0%B8%D1%82) , там совершенно другой подход, антитеррор это прерогатива гос служб, частные предприятия этим можно сказать не занимаются, я бесконечно далёк от этого, самое близкое что делал - аудировал аэропорт, вот у них каждый день с десяток проверок службой внутренней безопасности, и то косвенно столкнулся, проинтервьюировал и забыл.
>>Там же болото, всю жизнь потом не отмоешься.
>Смотря, куда, как и кем. Самая Ъ безопасность- там.
Уж не знаю кто тебе там чего понарассказывал, боюсь ты сильно заблуждаешься. У нас разные понятия безопасности видимо. То что происходит там - вялотекущая закостенелая работа в палочной системе.
Интересный набор скиллов. Бизнес-безопасность с одной стороны, инженерия охранно-пожарных систем, видеонаблюдения, скуд, автоматических систем пожаротушения с другой. Удается применять, или лежит мертвым грузом?
Так и не понял, где ты тут упарывался ОПС Etc.
>бенелюкс
Что это такое, зачем нужно? Чем там будешь заниматься? Чем рф не нравится?
посоны, все, что вы тут понаписали - это банальщина, доступная любому пытливому уму. но вот что вы реально дали - это еще один кирпичик в психологический портрет грядущего поколения иб-шников, с которыми или против которых придется дружить кому-нибудь под другую сторону баррикад.
это так, к слову от мимо-олдфага.
это так, к слову от мимо-олдфага.
Я тут новенький, но вопросы к тебе, тк хочу в Б4. Английский знаю хорошо, плюс восточный язык.
Расскажи что знаешь про forensic и corporate intelligence (especially in kpmg). Как часто там открываются интерн-позиции, что пиздеть бабе из HR чтобы взяли 100%, чем ребята занимаются, и где интереснее.
В бенилюкс уезжаешь по линии Б4 или сам пробился?
Расскажи что знаешь про forensic и corporate intelligence (especially in kpmg). Как часто там открываются интерн-позиции, что пиздеть бабе из HR чтобы взяли 100%, чем ребята занимаются, и где интереснее.
В бенилюкс уезжаешь по линии Б4 или сам пробился?
>Расскажи что знаешь про forensic и corporate intelligence (especially in kpmg). Как часто там открываются интерн-позиции, что пиздеть бабе из HR чтобы взяли 100%, чем ребята занимаются, и где интереснее.
кпмг не может в форенсик, всю практику форенсика у них купил делойт.
В четверках интернов набирают каждый год, надо в уневере тест написать и собеседование пройти.
>В бенилюкс уезжаешь по линии Б4 или сам пробился?
В биг4
кпмг не может в форенсик, всю практику форенсика у них купил делойт.
В четверках интернов набирают каждый год, надо в уневере тест написать и собеседование пройти.
>В бенилюкс уезжаешь по линии Б4 или сам пробился?
В биг4
При этом овертайм в делойте не оплачивается, и, наверное, самая бедная контора из б4.
Куда легче всего попасть из Б4 не имея фин/эконом/тех образования?
Куда легче всего попасть из Б4 не имея фин/эконом/тех образования?
Насколько я знаю делойт действительно самая бедная по выручке в России, в мире наоборот, лол, если Википедия не врёт. Овертаймы оплачиваются только в кпмг в России. Но там, по словам знакомых тебе еще надо доказать, что ты овертайм работал тк не успевал, а не потому что хуи пинал пол дня.
В любом случае это все хуйня, какое дело кто на каком месте если это все измениться может в любой момент - команды и партнеры между биг4 переходят постоянно.
>Куда легче всего попасть из Б4 не имея фин/эконом/тех образования?
В кпмг и делойт, отделы assurance и enterprise risks вроде. Янги и ПВц берут неохотно и через миллиард интервью.
Почитал вас тут и приуныл - диплом по специальности "организация и технология защиты информации" а знаний то нихуя и нет.
Даже пенять на отсутствии работодателей в моем ДС3 не буду.... реально понимаю что сам не вывожу такой объем знаний, которыми вы тут оперируете.
Даже пенять на отсутствии работодателей в моем ДС3 не буду.... реально понимаю что сам не вывожу такой объем знаний, которыми вы тут оперируете.
Это все исправляется опытом. Вон биг4 кун вообще из ДС4 в бенелюкс уезжает.
только ПРЕВОЗМОГАНИЕ сделает из нихуя не знающей обезьяны человека
мисо сам такой ОП
Спасибо за годный тред, ананасы. Благодаря вам я понял что в ИБ мне делать нехуй совершенно, тем более без профильной вышки азаза, у меня ее вообще нет, все сам вкуриваю, что мне требуется, ебал я эту мозготравлю и без служивости по природе своей не могу в подчинение бакланам, откосил от армейки не потратив ни копейки, имея по сути крепкую А.
Шестой год работаю в одном провинциальном УЦ, админю, генерю ключики, техподдерживаю кретинов клиентов, ну и вообще разные вопросы курирую. бабки выходят неплохие, а с леваками от клиентов вообще найс Только недавно начал осознавать, что по сути занимаюсь унылой неквалифицированной хуйней. Пора бы уже работать на перспективу. Решено. Ухожу в программисты. больше бабла богу бабла Вот она сфера моей мечты, где все зависит только от тебя и твоей соображалки. а она есть
Всем добра и успехов, котаны.
Шестой год работаю в одном провинциальном УЦ, админю, генерю ключики, техподдерживаю кретинов клиентов, ну и вообще разные вопросы курирую. бабки выходят неплохие, а с леваками от клиентов вообще найс Только недавно начал осознавать, что по сути занимаюсь унылой неквалифицированной хуйней. Пора бы уже работать на перспективу. Решено. Ухожу в программисты. больше бабла богу бабла Вот она сфера моей мечты, где все зависит только от тебя и твоей соображалки. а она есть
Всем добра и успехов, котаны.
Чуваки, подскажите пожалуйста, какая из этих специальностей самая годная:
Криптография
Информационно-аналитические системы безопасности
Информационная безопасность телекоммуникационных систем
Компьютерная безопасность
Информационная безопасность автоматизированных систем
Противодействие техническим разведкам.
Где программирования минимум?
Криптография
Информационно-аналитические системы безопасности
Информационная безопасность телекоммуникационных систем
Компьютерная безопасность
Информационная безопасность автоматизированных систем
Противодействие техническим разведкам.
Где программирования минимум?
Крипто-ПРО кун?
Вообще ЩИТАЮ, что установка випнетиков и выдача ключей самая унылая часть ИБ, где от тебя по сути ничего не зависит. Макс выдержать это можно год, если больше, то крыша нахуй поедет, тем более в гос конторке. Крепись бро.
Безработный ОПчик с принципами
>самая годная
>Информационная безопасность телекоммуникационных систем
This
>Противодействие техническим разведкам.
This. Хотя хуй знает. Скорей всего тут ассемблер.
Мимо ОП предполагающий
С трудоустройством, надеюсь, проблем не будет. Спасибо, няша.
Верно, крипто-про - наше все. Про випнеты даже слышать не хочу. В госконторе я бы и года не выдержал это точно, сплошная бюрократия и анальная пенетрация, мы с ними частенько работаем.
Крепиться нужды нет бро, годы работы закалили пердак, с опытом понял как можно извлекать профит из обрабатываемой целины, а к глупости отдельных представителей потомков обезьян научился относиться с пониманием и альтруизмом, тем более если эта глупость тебя неплохо кормит. В последние пару лет я и сам начал понимать, что никакой Безопасностью с большой буквы "Б", тут и не пахнет. Так, имитация, главное все формальности уладить, в том числе с проверяющими и лицензирующими органами, а потом ебись оно все конем. Почитав тред я и вовсе осознал, что к настоящей, комплексной безопасности, как вы это именуете, это все не имеет вообще никакого отношения. А мне все-таки хочется реальными вещами заниматься. Но в ИБ мне путь закрыт, да я бы и не сказал, что меня это интересует настолько, чтобы я посвятил этому остаток жизни.
Так как у меня нет всяких бумажек, то пространство для маневра было долгое время сильно сужено, но связи, репутация, а главное мозги в действии, поэтому сейчас у меня есть очень неплохое предложение, в перспективе куда более денежное. И я его упускать не собираюсь. Конечно придется превозмогать какое-то время, но это вообще не вопрос.
Я пока читал все это немного утерял нить треда, чому ты сейчас без работы-то?
>чому ты сейчас без работы-то?
Потому что только выпустился по ОиТЗИ, в мухосрани работы практически нет, только випнеты и пердольство с ними.
Несколько однокурсников уже около года в конторке работают, винеты устанавливают и бесперспективняк-тлен. Как-то преддипломную практику проходил где они випнеты-секрет неты наставили, так они ж нихуя не настроены даж были ибо это пердольство IT отдела той организации с персоналом, состоящим из бабок + пердольство с кисками. Про организационку по ИБ на том предприятии я ваще молчу, её тупо не было.
Немного занесло, ну ды лан.
Админить удостоверяющий центр и некоторые сопутствующие приблуды конечно куда интереснее, чем пердолинг с випнетами. Плюс некоторые консультационные услуги, которые можно оказывать немного поднимают ЧСВ. Наверное поэтому я столько и продержался. Сейчас меня это вообще не напрягает в общем-то, законодательство в этой сфере пока что устаканилось, все по накатанной. Но работа с клиентами периодически нарушает душевное равновесие, да и перспектив в моей мухосрани с таким набором скиллов нет, а в ДСы ну никак не сунуться без бумажек. Поэтому и решил в итоге сменить сферу деятельности. Хорошего программиста всегда и везде с руками оторвут, насрать что "необразованный" ахаха
А кроме айти-безопасности никакие смежные сферы не рассматривал хотя бы для начала?
>никакие смежные сферы не рассматривал хотя бы для начала?
Ну если только поадминить, но и админить надо искать где, а не в шаражке. Щас, как уже писал, постепенно питон изучаю, т.к. с него можно и в веб окунуться и программки писать.
С питона неплохо начинать знакомство с программированием как таковым, но использовать его как основной язык у тебя вряд ли получится. Просто погугли вакансии по нему в своем мухосранске, вряд ли тебе удастся найти что-то годное, опять же все в ДСах. Плюс у него есть свои ограничения, которые не позволяют использовать его в энтерпрайзе, разве что как вспомогательное средство. Да, гиганты типа гугла могут себе позволить изощренное баловство с ним, но на местечковом уровне ты ничем особым от пхп-макаки отличаться не будешь, просто гвозди будешь забивать не дилдаком, а крепкой резиновой дубинкой :3 Если слишком сильно углубишься в изучение няшного питона, то будущий переход на энтерпрайзные языки типа шарпа, джавы или крестов может нехило подогреть пердак, слишком разные сферы применения у них. А вообще я тебя нисколько не отговариваю, наоборот, учи усиленно, любой опыт пригодится для получения опыта последующего. Он вполне себе годен для пентестинга и для множества других вспомогательных задач. Отличный инструмент в умелых руках.
>>Противодействие техническим разведкам.
>Скорей всего тут ассемблер.
Кто-нибудь может внятно объяснить, зачем спецу пдтр знание ассемблера? Он же по сути- исполнитель, его задача- грамотно использовать аппаратуру согласно полученной свыше информации. Говно какое-то.
>в ДСы ну никак не сунуться без бумажек
Прокачивай навыки говорильни, легендируй себе все, что угодно, вывози поставленную задачу и будет тебе счастье. Только с умом все делай, и не спеши.
С болтологией все на высшем уровне, но формальности они на то и формальности, могут многое перечеркнуть почем зря. Но меня это не сильно волнует, сферу деятельности я уже твердо решил сменить, как писал выше. На ту, где эти формальности будут играть гораздо меньшую роль, а скиллы можно проявить во всей красе. Не спешу, с умом делаю, счастье будет, стремление все окупит.
Любую сферу можно подогнать под себя, было бы желание и готовность к определенным жертвам.
Алсо, уходить из безопасность в программирование- плохой вариант ввиду проеба навыков и затраченного на них времени. Сисадом или сетевиком- еще куда ни шло, знания компьютерной безопасности будут сильно в тему, а сертификаты и вот эта вся ваша ебень > вышка, которая тоже покупается. Впрочем, тебе виднее.
Я тут начал тебе расписывать по-пунктам почему я принимаю такое решение, но когда я начал предложение с фразы "в-десятых", понял, что наверное это все будет лишним. Я исхожу из сугубо собственных обстоятельств, среди которых в том числе и некоторые личные.
Проебывать особо нечего, все наработки заботливо сохранены, а каких-то особых навыков там нет, по-крайней мере для технически грамотного человека. Организационной частью я не занимался.
При этом переквалифицироваться я планирую не просто в кодера, а во вполне конкретную сферу с очень сильной командой и конкретными задачами. Теперь только превозмогание и хардкор.
Алсо, не стремно ли вышку покупать в сфере ИБ?
>Алсо, не стремно ли вышку покупать в сфере ИБ?
Стремно. Фу таким быть.
>не стремно ли вышку покупать в сфере ИБ?
В рф- ничуть.
По ПЭМИН что расскажите? Снимали инфу так?
любопытный ОПчик
любопытный ОПчик
Прикинь для начала стоимость аппаратуры и мероприятий, а так же уровень квалификации исполнителей, исходя из полученных выводов прикинь стороны, которым это доступно, а потом подумай, что их сотрудники забыли тут.
Примерно от 500 тыров до бесконечности
Big4 кун, просмотрел я тредик ваш, так вот кто относится к биг 3? И реально ли из биг4 по ИБ в биг 3 наработать? Как я понял там вообще всё серьёзно
ОПче
Несогласен. Давай лучше накатим.
Давай
Моя ИБ-стори:
Образование- сети
Опыт ИТ 10+ лет
Админил инфраструктуру.
Админил циски.
Админил админов.
Потом осознал что несколько лет как занимаюсь раздачей пиздюлей и рамсами с бизнесом, остопиздело, бросил. Плюнул на большую ЗП, пошёл в программеры.
В программерах начальство быстро вычислило адеквата, сам того не заметив оказался ПМом живущим в командировках больше чем дома. Ебанулся, ушёл.
Попинал хуи с бонусов, подрабатывал консультантом по всему околоитшному среди знакомых знакомых (умею делать серьезное ебало и внятно излагать) обнаружил что опять ПМлю на фрилансе.
Потом друг семьи сказал: ты крутой, запили безопасность в конторе мне, так и попал в СБ, курирую безопасность информационных технологий. Двач, это пиздец! Таких мудаков в ИТ я не видал никогда. Только в инете про таких читывал. В итоге уже года полтора воюю с ними, все движется писец как медленно. В моменты отчаянья думал сказать хозяину бизнеса: уволь начальника управления ИТ и поставь меня. Но в ИТ пока трудиться зарекся.
За год внедрил: enterprise антивирь, UTM, DLP, переколбасил сеть чужими руками, связал СКУД с АД. Битва с мудаками продолжается, упорно хотят стрелять себе в ногу. Понимание того, что субъект ИС должен быть наделен минимально необходимыми правами у людей напрочь отсутствует. Слабоумие и отвага, короче.
За учёбу: так как решил связаться с ИБ по плотнее пошёл на БИТ ИТМО. Учат чуть более чем нихуя. Профанация одна.
За ИБ работу:
На мой взгляд расклад по средних размеров бизнесу примерно такой.
Те конторы, что связаны обязательствами, держат ИБшника или службу ИБ, чтоб регуляторы не опиздюлили.
Те в которых фрода параноят, открывают электронное гестапо чтоб своих пиздить в основном.
А большинство безопасность через неизвестность реализуют.
За крупный бизнес не скажу, ещё прикидываю стоит ли туда идти, сыт я им по-горло.
За перспективы и планы:
Чессно говоря, не знаю пока чего хочу.
Круто было бы безопасность телекома крупного обеспечивать, потому вспоминаю сети в свободное время, ибо объективно слабоват. В провайдера одного не взяли, в другого крупного были готовы но сам не захотел. Висит офер от интегратора большого, но ПМом тошно. Предлагали в инфовотч, пока думал они человека нашли.
Короче играюсь с пентестерскими дистрибами, собрал плейграунд на работе, моделирую атаки смотрю видят ли их мои средства защиты. Читаю маны, курю, грущу. Бумажки писать ненавижу, отмазываюсь всеми силами, жду когда утвердят бюджет на раба, на которого все и свалю.
Ну вот, Двач, рассказал, полегчало на душе. За грамотность извиняйте, с мобилы пишу. Стиль конический нарочно.
И эта, может подскажете, где работу в сфере безопасности ИТ искать, чего перспективного в этой сфере есть?
Образование- сети
Опыт ИТ 10+ лет
Админил инфраструктуру.
Админил циски.
Админил админов.
Потом осознал что несколько лет как занимаюсь раздачей пиздюлей и рамсами с бизнесом, остопиздело, бросил. Плюнул на большую ЗП, пошёл в программеры.
В программерах начальство быстро вычислило адеквата, сам того не заметив оказался ПМом живущим в командировках больше чем дома. Ебанулся, ушёл.
Попинал хуи с бонусов, подрабатывал консультантом по всему околоитшному среди знакомых знакомых (умею делать серьезное ебало и внятно излагать) обнаружил что опять ПМлю на фрилансе.
Потом друг семьи сказал: ты крутой, запили безопасность в конторе мне, так и попал в СБ, курирую безопасность информационных технологий. Двач, это пиздец! Таких мудаков в ИТ я не видал никогда. Только в инете про таких читывал. В итоге уже года полтора воюю с ними, все движется писец как медленно. В моменты отчаянья думал сказать хозяину бизнеса: уволь начальника управления ИТ и поставь меня. Но в ИТ пока трудиться зарекся.
За год внедрил: enterprise антивирь, UTM, DLP, переколбасил сеть чужими руками, связал СКУД с АД. Битва с мудаками продолжается, упорно хотят стрелять себе в ногу. Понимание того, что субъект ИС должен быть наделен минимально необходимыми правами у людей напрочь отсутствует. Слабоумие и отвага, короче.
За учёбу: так как решил связаться с ИБ по плотнее пошёл на БИТ ИТМО. Учат чуть более чем нихуя. Профанация одна.
За ИБ работу:
На мой взгляд расклад по средних размеров бизнесу примерно такой.
Те конторы, что связаны обязательствами, держат ИБшника или службу ИБ, чтоб регуляторы не опиздюлили.
Те в которых фрода параноят, открывают электронное гестапо чтоб своих пиздить в основном.
А большинство безопасность через неизвестность реализуют.
За крупный бизнес не скажу, ещё прикидываю стоит ли туда идти, сыт я им по-горло.
За перспективы и планы:
Чессно говоря, не знаю пока чего хочу.
Круто было бы безопасность телекома крупного обеспечивать, потому вспоминаю сети в свободное время, ибо объективно слабоват. В провайдера одного не взяли, в другого крупного были готовы но сам не захотел. Висит офер от интегратора большого, но ПМом тошно. Предлагали в инфовотч, пока думал они человека нашли.
Короче играюсь с пентестерскими дистрибами, собрал плейграунд на работе, моделирую атаки смотрю видят ли их мои средства защиты. Читаю маны, курю, грущу. Бумажки писать ненавижу, отмазываюсь всеми силами, жду когда утвердят бюджет на раба, на которого все и свалю.
Ну вот, Двач, рассказал, полегчало на душе. За грамотность извиняйте, с мобилы пишу. Стиль конический нарочно.
И эта, может подскажете, где работу в сфере безопасности ИТ искать, чего перспективного в этой сфере есть?
хуй я поверю в то, что ты свалил с ПМа (читай начальство) на хуя простого.
У меня жопка дымится от твоей успешности. У администратор выдающийся, и программист, и руководитель и на дуде игрец. Сколько тебе лет и сколько получал максимально? Планирую потерять сознание.
>Двач
>enterprise антивирь, UTM, DLP, переколбасил сеть чужими руками, связал СКУД с АД
Ну если для тебя быть начальником ценность, то я тебе не завидую. Мне лично больше в железках нравится копаться, чем на планерках штаны протирать. Да и не хуй простой, а начальник сам себе, раб мне после нового года обещан.
Когда работал в конторе 80К человек штатом, был начальником группы из 8 инженеров
>админил админов
работа состояла из нервного пиздежа по телефону с 8 до 23, отвечал за эксплуатацию 120 объектов заебало через 2 года
Когда был ПМом отвечал за электрика, двух монтажников и сварщика, сам был программистом и казначеем в этой банде, ебанулся за полгода с ними.
А сколько у вас народу в СБ? Какие направления прикрываете?
Кто такой ПМ?
А че бомбануло-то так?
Мне тридцак, зарабатывал максимум 120К включая командировачные. Несколько раз переходил на меньшую ЗП во имя любви к искусству. Сейчас 75К после НГ накинут.
Одмин я посредственный по-моему.
В скриптинг умею нормально.
Кодил на языке ST, там много ума не надо, почитай справку поймёшь. Главное процесс шарить и не тупить.
Куча людей в окружении куда большего добились, как по баблу, так и по скилам.
В СБ три человека. Шеф службы бывший мент, рулит бумагами, краснеет на собраниях, взаимодействует с органами, обеспечивает физическую безопасность.
Его зам обеспечивает экономическую безопасность плюс бумаги по ПД.
Меня взяли последним, занимаюсь безопасностью ИТ. По-идее должен был забрать под себя ПД и всю нормативку по ИБ, но пока соскакиваю так как с БИТ жопа полная. После нового года будем брать человека под работу со всеми бумагами по ИБ. Контора полторы сотни человек, но под прицелом трёх регуляторов, поэтому службу ИБ будут наращивать. Обязанности местами странно распределены, например
с длп работает начальник СБ, а я админю, ибо перлюстрация для меня зашквар. Я при этом со сбором данных и разведкой остальным помогаю, ибо поиском и машинным переводом умею пользоватьсч.
ПМ проджект менеджер - такой хер, который отвечает за проект от ТЗ до сдачи в продакшн.
>>Двач
>>enterprise антивирь, UTM, DLP, >переколбасил сеть чужими руками, >связал СКУД с АД
По себе о сидящих на двачах не судите, любезный.
На антивирь неделя потребовалась, собрать сервак и расставить по клиентам через ГП.
UTM в продакшн месяца два выходила, допиливается до сих пор, несколько тысяч страниц манов вкурено, причесываю её по несколько часов в неделю.
Длп - приехали пацыки, воткнули appliance, расставили клиентов через ГП.
Шеф ни нарадуется. Продукт довольно зрелый, рекламировать не буду.
Полиси для policy-based роутинга за три вечера написаны.
Интеграцию скуда с ад совместно с интегратором делали, они виндовую часть, а я транспортный сервак, из модбас сетки берёт события и по снмп засылает, по сути конвертер сред.
А дальше ещё SIEM будет, приколи. Правда какая ещё непонятно, не выбирал.
Короче за полтора года можно дохера сделать, если на картинки подобные меньше дрочить, и делами иногда заниматься. И да, работаю обычно по часов десять в день. Хочешь тебя чему научу, будут вопросы - пиши.
Уже лучше, чем у большинства. Че за мент, в каком звании, чем занимался раньше?
С хрена ли начСБ занимается онли физикой, если по факту должен рулить оперативной работой и линией КР?
Что за БИТ?
Какой уровень защищенности по ПД?(или какая там сейчас классификация, ебать же все эти изменения в нормативке)
Сбор данных и разведка- сам обучался? Конкретно чем занимаешься? Osint? Активные мероприятия?
>Че за мент, в каком звании, чем >занимался раньше?
Пенсионер. Отдельное управление МВД номера не помню, охрана секретных объектов: закрытые города, рудники, Байконур, etc.
>С хрена ли начСБ занимается онли >физикой, если по факту должен рулить >оперативной работой и линией КР?
Так уж повелось, болезни роста и отсутствие стратегического планирования
>Что за БИТ?
Безопасность Информационных Технологий
>Какой уровень защищенности по >ПД?(или какая там сейчас >классификация, ебать же все эти >изменения в нормативке
Это для меня вообще соль на рану, мне от нормативки по ПД тошно, как передадут так и начну сношаться
>Сбор данных и разведка- сам обучался? >Конкретно чем занимаешься? Osint? >Активные мероприятия?
Активных мероприятий почти нет, те что были на грани криминала, гордиться нечем. В основном проверяю контрагентов забугорных по реестрам разным, выписки заказываю. Несколько раз искал исполнителей в других странах "сходить, посмотреть, сфотографировать, оценить активность"
Разыскиваю должников по соцсетям.
Социнжинирингом балуюсь.
>охрана секретных объектов
Ну хуй знает, ДРО штоле?
>болезни роста и отсутствие стратегического планирования
То есть линия КР отсутствует как таковая? Я правильно понял?
>БИТ
Это итмо который? А зачем оно тебе надо? Вышки нет официальной?
>на грани криминала, гордиться нечем
Зря, заебись же.
>В основном..
Что за софт юзаешь? Спутник, аваланч, пульс, семантика?
КР это контрразведка? Ею не занимается никто, а зря. Я вот не представляю даже с чего начать, может подскажешь чего почитать?
>>БИТ
>Это итмо который? А зачем оно тебе надо? Вышки нет официальной?
Вышка есть, пусть ещё профильная будет, вдруг захочу в большую контору пойти.
И на работе я безопасность ИТ обеспечиваю, короче и на работе БИТ, и на учёбе БИТ, и в ушах.
>Что за софт юзаешь? Спутник, аваланч, пульс, семантика?
Софт не юзаю. Иду на сайт минюста или его аналога нужной страны и разбираюсь как запрос подать и т.п. в Польше или чехии вот министерство справедливости, красиво звучит:)
>КР
Контакты свои оставь какие-нибудь, в открытую швыряться информацией желания нет.
То, что отсутствует- дикий проеб. По факту- все ваши компьютерные и физические средства и системы безопасности могут быть обойдены толковым агентуристом со стороны конкурентов.
>Вышка
Не проще залегендировать?
>Контакты свои оставь какие-нибудь,
Спасибо, если не сложно глянь после понедельника в тред, я мыло повешу, а то сейчас компа и нета нормального нету под рукой.
>Не проще залегендировать?
А она абсолютно ненапряжно даётся, по приколу даже. Багаж в наличии позволяет все экзамены без подготовки почти сдавать, учитывая прошлый диплом изрядный кусок перезачли.
Вчера один парняга рассказал, что фсо-шиникам и фсб-шникам запрещают в соц сетях сидеть вообще, типа слив инфы был раньше и щас всех анально карают так, поэтому все активном меняют свои данные, чтоб не вычислили
>фсо-шиникам и фсб-шникам
Вообще всей системе правоохраны
>запрещают в соц сетях сидеть
Не сидеть, а создавать страницы с реальными данными и фото, с указанием проф.принадлежности, а так же нежелательно присутствие в соцсетях близких родственников. Раньше просто по форме запрещали выкладывать фотки, теперь несколько ужесточили.
С другой стороны, некоторые кадры, опера те же, просто обязаны иметь свои страницы в соцсетях, так что не говори за всех.
За 382-п нет желающих попиздеть?
небось ломаная пощта из слива?
Нет, и проверить это довольно легко . Зачем брать ломаную, если можно создать.
Давай попиздим. Задавай тему, давай свои комментарии и опыт, а мы подскажем-поинтересуемся.
Хорошо анон, доставь годной литры по каждой части КСЗИ, желательно не некто по типу Торокина
некро
быстрофикс
А 382-п?
литра по иб в открытом доступе в большом количестве, качайте-покупайте.
Давайте с общих моментов начнём.
Вот в пункте 2.6.2 фигурируют некриптографические СЗИ от НСД
В какой Зокон лезть чтобы понять что к ним относится?
Что нужно сделать, чтобы мне аудитор написал, что деятельность по данному пункту выполняется в полном объёме(категория 3)
Аудиторам срать на такие нюансы. Никто не будет проверять такие мелочи.
>174528
А если по делу?
В ЦБ довольно лютые аудиторы попадаются, и не угадать, что они внимательно изучать будут
А если по делу?
В ЦБ довольно лютые аудиторы попадаются, и не угадать, что они внимательно изучать будут
Определение крипты у нас лежит в ПП 313, логично предположить, что законодатели имеют в виду средства, подпадающие под п.3.
По средствам- нечто по типу dallas lock в офисах, а так же средства пультовой охраны на банкоматах и терминалах. Ключи- ibutton, proximity, токены. Под криптографию не подпадает, в то же время сзи от нсд обеспечивает и логи ведет.
Это так, на первый взгляд, проблемой не занимался.
Ну и чего все замолкли?
А хуле размолкать, с нынешним положением дел в стране безопасники никому нахуй не нужны будут скоро. Будут за вас всё админы или дядьки с погонами все дела делать.
Учиться на данную специальность - про такую идею можете вообще забыть.
Учиться на данную специальность - про такую идею можете вообще забыть.
Ты прав отчасти. Интересную работу в теме уже достаточно сложно найти. Доля унылой будет только возрастать. Часть станет кастовой.
ОПчик все ещё ищет работу, в итоге есть 2 варика, один уютное сидение в офисе и пиздеж с с нулевым замдиром на тему ИБ и грандиозных планов или разъездная работка в профильной компании где весь бизнес закручен на аутсорсе ИБ, правда вакансия больше по теме инженерки с замерами на анализаторе спектра различных гос и не очень учреждений. Самый прикол в том, что пока неопределенность есть, с одной стороны, как меня заверили, я типа 100% получил работу по первой вакансии, с другой стороны по другой вакансии я могу получить значительно больше опыта по сравнению с первой вакансией, но надо ждать ещё решение о принятии пол месяца, это ж ёбнуться можно
И вообще, расскажите как обычно происходит зачисление в штат? Сколько вы ждали после собеседования до того момента, как вас приняли на работу? Просто кажется, что по второй вакансии меня не особо хотят брать и из-за этого продлили срок открытой вакансии, т.е. ждут кого получше, как я понял.
ОПче
ОПче
Если есть авто- второй вариант, если нет- первый.
Если хочешь стать узкоспециализированным техспециалистом- второй, если комплексным- первый.
Если берут прямо сейчас, контора развивается и руководство адекватное- иди в первую.
Первую
Поцоны, имеется димлом (красный, лол) по комплексной защите объектов информатизации. Только окончил вуз, знаний толком нет, разбираюсь немного в нормативно-правовом говне, участвовал с посанами на местных ежегодных цтфах (постоянно был очень неплохой результат). Весьма неплохо разбираюсь в сетях, как в теории, так и на практике, есть опыт работы инженером в провайдере. Сейчас пиздую в армейку, а через год надо уже бабки зарабатывать нормальные.
Проблема в выборе своего пути. ИБ мне не особо интересна. Вообще даже не вижу смысла тратить на это бабла больше, чем для удовлетворения требований 152-ФЗ, по моему мнению совершенно ебанутогоГТ это не касается, там понятно, что надо и всё, пиздец.
Стоит ли идти в ИБ? По специальности, все дела. Дохуя ли нужно изучить матана? Нужно ли быть невъебенным погромистом? Нормальные ли зарплаты, перспективы в этой области? Могу быть сетевиком, или задрочить вёрстку. Где больше профита?
Проблема в выборе своего пути. ИБ мне не особо интересна. Вообще даже не вижу смысла тратить на это бабла больше, чем для удовлетворения требований 152-ФЗ, по моему мнению совершенно ебанутогоГТ это не касается, там понятно, что надо и всё, пиздец.
Стоит ли идти в ИБ? По специальности, все дела. Дохуя ли нужно изучить матана? Нужно ли быть невъебенным погромистом? Нормальные ли зарплаты, перспективы в этой области? Могу быть сетевиком, или задрочить вёрстку. Где больше профита?
ИБ очень большая сфера, тебе об этом а институте должны были рассказать, ты же комплексник (75500 сколько-то там, верно?).
Пен тесты очень интересны например. Физ безопасность по моему опыту (видеонаблюдение и тд) - скука. Антивири писать - нужно было самому пока учился ботать кодинг. Консалтинг и аудит банков и бизнеса - норм.
Коллеги, поделитесь ссылками на годные ресурсы по тематике ИБ.
Хакер.ру
Ты только его читаешь?
Ну, античат еще )).
Сколько получают безопасники (те парни, что оканчивали направление информационная безопасность и все в том же духе)?
Вартовск или Сургут?
от нихуя до дохуя.
в дс2 выпускник без опыта - 40 практически потолок.
>Сколько получают безопасники (те парни, что оканчивали направление информационная безопасность и все в том же духе)?
80-90 @ ДС.
Че такое ДС, задолбали, ребят
Это в какой конторе?
А чуваки из отдела "К" дохуя получают?
И где можно увидеть вопросы на собеседование?
>А чуваки из отдела "К" дохуя получают?
Тащемто да. Если ты не в дс, то влезть к фбсам это по деньгам очень круто. Но там уже давно сидит поколение безопасников выпуска лет на 5-10 назад. И сидят они на жопе просто идеально ровно, хуй сковырнешь.
default city. полуркай.
ты не пробовал рынок труда исследовать?
Вопросы на собеседовании могут быть разные.
Скинь требования из вакансии, тогда можно будет прикинуть о чём разговор может пойти.
ИБэшнички, кто какие сканеры уязвимостей пользует?
Интересуют бесплатные. На платный пока бабок в бюджете нету.
Сам использовал openvas, но он меня не очень порадовал, админить его муторно.
Интересуют бесплатные. На платный пока бабок в бюджете нету.
Сам использовал openvas, но он меня не очень порадовал, админить его муторно.
А если из ДС, то влезть к ним -- хуево?
Сам пока юзал GFI LanGuard, вроде ничё так
ОП
Первая - госконторка, руководство вроде ок да и баблом не обделены, но пугает, что кроме меня по ИБ там никого не будет, понятное дело вся эта неуверенность из-за отсутствия опыта, хотя с другой стороны это звучит как вызов себе поПРЕВОЗМОГАТЬ
ОП-хуёп
Готовься писать много бумажек. В одно рыло замутить нормальный СОИБ непросто.
Ох, ток что заявление писал, в штатном расписании у них все значатся как инженеры-программисты, хотя в вакансии было именно спец поИБ, как объяснили это специально, чтобы привлекать того, кого нужно, его на выходных предложили составить типа чем я должен заниматься, аля должностную инструкции, вот тут у меня бомбануло даже немного, но хорошо, что отдельный застекленный кабинет полностью мой, лал.
В общем, уже предчувствую пиздец и ад с недопониманием на тему ИБ. Ну конечно ж дроч по фз152.
ОП
>его
ещё
>инструкции
интрукцию
быстрая починка
Это же прекрасно - самому себе ДИ писать. Смотри ничего лишнего не напиши.
Покури стандарт какой-нить типа СТО БР ИБ БС, на его основании инструкцию и нарисуй себе.
смотри не прогори там нахуй
Алсо рад, что ты таки нашел работу.
Вот я ебанный неудачник с месяц работую в сопровождении электронных платежей и как то зашаталось тут кресло
Ох посоны, веселье началось, хорошо хоть начальство понимает необходимость реализации доп защитных мер, уже начал вкатываться в комплексуху, тонны бумаг ещё бы разобрать и упорядочить
ОП а стеклянным кабинете
ОП а стеклянным кабинете
Сургут, неожиданно позвали на собеседование в одну местную корпорацию, лел! Завтра иду смотреть щто там творится...
Эй, защитники, по кофейку? Предложили работу инженером цифровой безопасности, но у меня образование немного не то - телекоммуникации. Дали немного литературы почитать, но все же интересует, что конкретно и обязательно мне надо знать.
Безопасники, что можете посоветовать почитать студентоте? Чего на выходе из вуза самим не хватало?
Сам интересуюсь и ИБ, и физической безопасностью, но профильной вышки явно не хватит.
Сам интересуюсь и ИБ, и физической безопасностью, но профильной вышки явно не хватит.
Небось чувствуешь себя важной обезъянкой
Чуть. Холодно пиздец пока
Вообще бумаги важные на момент прихода хуй кто видел из отдела (да анон, это информационный отдел) по результатам аутсорса одной компашки, крч дроч аноны, разгрести б всю хурму и своими делами заниматься, а то чет на шпитон забил
Замёрзший ОП
Замёрзший ОП
Посоны, расскажите че по форензике (комп криминалистика). На великом могучем только одну книгу знаю и то относительно старую. Дайте наводки ещё на материалы на рус или англ, чтоб основательно обмазаться
Все ещё не согретый ОП
Все ещё не согретый ОП
На великом и могучем только Федотов вроде. в прошлом году вторая редакция вышла, у меня даже с дарственной есть.
Вроде гулял где-то коллективный перевод курсов certified forensic investigator, но он был хуёв, да и по англицки всё понятно.
А ваще форензика в русских реалиях дело очень специфическое.
у кого-нибудь опыт проведения аудита/самооценки по 382-п?
Именно, форензика от Федотова, насколько я знаю новая редакция идёт только как подарочный вариант и в продаже нет
Он в инфовотч пошёл работать, книжка брендирована слегка, издана на деньги кашперской. В продаже действительно нет, они её на родшоу своих разыгрывают регулярно, ну и по партнёрам распостраняют.
Когда они мне вискарь на новый год прислали, я расстроился что не книжку. Написал Федотову, пожалился, благо знал его давно. Прислали книжку. ПРОФИТ!
К это мвд, а не фэбс
Бумп
Чёт я как-то люто проиграл и в тоже время опечалился, когда узнал, что уже более полугода тех бумаг ибшных в учреждении нет, но всё ж кому-то их передали из аутсорс компании. Вот я вообще охуею, если в той компании эти документы не остались в архивах в эл виде. Вообще, прошла первая неделя, а я уже прочувствовал это болото...
ОП
ОП
Не сцы, бумаг тебе писать и писать.
Советую глянуть в второго какого-нибудь нормального стандарта, и ИБашить по нему.
Fix
В сторону
Лел, крч аттестация ИС была по пп-781, и даже в этом году, хуле потом делать, когда копию просранного комплекта доков получу? ЯЩИТАЮ, надо провести ещё раз самоаттестацию по пп-1119 + вся хуйвала вышедшая от фстэка и фэбсов, да, это всего-лишь дроч по фз 152. Но в одно рыло с постоянным отвлечением на разное будет только готово через примерно месяца 3-4. В общем, перед разработкой чего-либо, как я понял стоит курсануть весь СТО БР ИББС и адаптировать по нужды.
>сто бр иббс
Двачую. Он годен на многое, почти без адаптации. Финпоебота банковская отдельным положением идёт.
Аноны, в следующем году планирую поступать на Информационную Безопасность в фсб-шную академию в ДС-1.
Обещают после выпуска работу в госслужбе. У меня ряд вопросов. Стоит ли? Из минусов там невыезд за границу, насколько знаю (кстати, насколько это правда? Вообще не выпускают или лазейки все же есть?). И интересует зарплата. Ну и, насколько я буду котироваться на рынке труда если буду иметь опыт в гос. конторе?
Есть ли тут кто-нибудь, кто работал/работает на госслужбе? Или где вообще, на каких форумах такой народ можно найти, чтобы лично задать им эти вопросы?
Обещают после выпуска работу в госслужбе. У меня ряд вопросов. Стоит ли? Из минусов там невыезд за границу, насколько знаю (кстати, насколько это правда? Вообще не выпускают или лазейки все же есть?). И интересует зарплата. Ну и, насколько я буду котироваться на рынке труда если буду иметь опыт в гос. конторе?
Есть ли тут кто-нибудь, кто работал/работает на госслужбе? Или где вообще, на каких форумах такой народ можно найти, чтобы лично задать им эти вопросы?
Аноны, наверное уже замахал все спрашивать и ныть, но надо получить эп для взаимодействия с пфр, как я понял эп надо получать у того уц, у которого есть кросс сертификация с пфр. Над спросить у уц...
ОП
ОП
ножество подходящих уц есть.
к СМЭВу нужно подключаться?
Потсоны, предлагают от 90к с хода, антон как ты считаешь норм зп? Вообще, какая средняя ЗП в этой сфере?
функционал опиши хоть чуть, тогда можно будет сказать норм или нет. И заодно объясни какой коэффицент в сургуте.
Комплексная безопасность начиная от физической типа видео, скуд до инф. безопасности, 152фз, пока представление обширное, возможна будет заточка по нескольким направлениям по которым будут проводиться работы.
"Районный коэффициент при исчислении заработной платы в размере 1,7 и процентная надбавка к заработной плате за стаж работы в районах Крайнего Севера и приравненных к ним местностях."
Так в среднем по городу ЗП прыгают от 25-70к, больше суммы либо это работки корпораций, либо предприниматели.
Наверное норм. Если посчитать то 90/1,7=52.
52 в ДС2 за подобную работу нормально.
Вопрос к товарищам, работающим со средствами технической ЗИ: где вы учились работать с железом? Пока что для меня это выглядит как «Получить опыт на работе; без опыта работы не принимаем». Если, например, знания/навыки по пунктами из можно получить самостоятельно, то как заиметь опыт использования СТЗИ, я не представляю.
Поясните, пожалуйста.
Поясните, пожалуйста.
Ты какие конкретно СЗИ имеешь в виду?
Лучший расклад - поинженерить в ИБ интеграторе пару лет.
А так, что-то можно раздобыть в тестовой версии, мануалы найти можно ко всему:)
Я винду так "учил" в 97 году. Комп её не тянул, я читал статьи в НиЖ и представлял как оно работает:)
На самом деле знание железок не очень критично, главное понимание политик, которые ты хочешь реализовать.
>СЗИ имеешь в виду?
Я думаю, что скорее всего он про анализатор спектра и тд, выявление закладок и тд, эта тема если так прикинуть достаточно интересная, но, как я считаю, уже устаревшая, примерно времен конца 80-х, начала 2000-х,думаю что уже мало корпораций ведут конкуреную разведку такими способами, друго дело гос.
Мимо ОП
>устаревшая
Назови хоть одну причину, по которой техническую, втч. радиоразведку допустимо считать устаревшей.
бамп вопросу
Съезди туда, пообщайся с ними. Всё и узнаешь. Не думаю, что на двачах тебе сразу дадут ссылку на форум госслужбистов, тем более в конторе служба специфическая.
Тут, кстати, госслужбы тред был где то
Бумп
Так уже поздно, надо было с конца августа. :3
Да, за границу хуй попадешь :)
Безопаснички, расскажите, какими штатными средствами венды 2008 можно для галочки реализовать контроль установленного и работающего ПО? Кроме applocker ничего не настраивал пока, думаю какие gp крутить.
Сап, безопаснички.
Работаю в крутой конторе ИТ которая делает для ИБ. Т.к. учился на безопасника КСЗИшника не было времени крутить циски, вникать во всякие маршрутизации, вланы потому, что вечером идешь на учебу и ебесься там либо с организационкой, либо с ТСЗИ.
В итоге понижен до суппорта, хотя, блядь, у самих хуй что где прописано и нихера не понятно. Режим, но там, где нас нет, там хорошо . На 27001 класть.
Набирают в отдел народ на бумажную хрень, кто с бауманки, кто по знакомству. А я суппорт ебучий, на факультатив времени не остается или бардак будет. Заебало.
Проявление инициативы либо наказуемо либо "всем срать" иль денег нет.
Люблю линукса пиздец, не профи, но покурить могу. Приходится ебаться с AD ебучей.
На вопросы "а как вот это работает" ответы как правило "иди с системниками ебись" или типа того.
Думаю до весны если ситуация не изменится валить.
Имеет смысл после техсуппортинга лезть в бумажные ИБ дела, ПДН, банковские СТО?
Там же поди пиздец и винда. Видна реально зло, когда умеешь в линукс.
Да и наверняка суппорта из ИТ в ИБ брать не будут, но смысл суппортить, если вообще никаких движек день от дня?
Работаю в крутой конторе ИТ которая делает для ИБ. Т.к. учился на безопасника КСЗИшника не было времени крутить циски, вникать во всякие маршрутизации, вланы потому, что вечером идешь на учебу и ебесься там либо с организационкой, либо с ТСЗИ.
В итоге понижен до суппорта, хотя, блядь, у самих хуй что где прописано и нихера не понятно. Режим, но там, где нас нет, там хорошо . На 27001 класть.
Набирают в отдел народ на бумажную хрень, кто с бауманки, кто по знакомству. А я суппорт ебучий, на факультатив времени не остается или бардак будет. Заебало.
Проявление инициативы либо наказуемо либо "всем срать" иль денег нет.
Люблю линукса пиздец, не профи, но покурить могу. Приходится ебаться с AD ебучей.
На вопросы "а как вот это работает" ответы как правило "иди с системниками ебись" или типа того.
Думаю до весны если ситуация не изменится валить.
Имеет смысл после техсуппортинга лезть в бумажные ИБ дела, ПДН, банковские СТО?
Там же поди пиздец и винда. Видна реально зло, когда умеешь в линукс.
Да и наверняка суппорта из ИТ в ИБ брать не будут, но смысл суппортить, если вообще никаких движек день от дня?
На кой хрен ты полез в компьютерное обеспечение, если ты комплексный безопасник? Иди и займись тем, что умеешь.
К бумажной хрени относись критически, если она не подтверждается практикой.
>В итоге понижен до суппорта
Ну так то я шарю в ПО, 4 года по программированию за спиной, тольк если бы шарил не пошел бы в безопасность.
Просто по факту начитали так, что в бой можно только по организационке(с разбором законов и тд)
По комплексу - основные принципы.
По ТСЗИ - галопам по европам без дсп и допусков(кому охота ебаться с вечерниками)
Айтишные темы - теория в основном, пару раз СЗИ настраивали и всё.
Просто я незнаю, вообще молодых безопасников берут куда-нибудь? Считай только инст окончил и то по вечерке-сокращенке.
Всем чмоки в этом чатике, составил представление о ваших делах.
>Просто я незнаю, вообще молодых безопасников берут куда-нибудь? Считай только инст окончил и то по вечерке-сокращенке.
В ДСах вакансии есть регулярно, не очень по бабкам, но без опыта берут.
Присоединяйся, котег.
Ох посоны, целую неделю дрочусь с ЭПшками, как заебало а, сам зеленый, всех нюансов бюрократии не знал и всю эту работу на меня свалили, то блять нормально заявку не можем составить на эп, видите ли НИХУЯ НЕ ТЕ ДАННЫЕ БЛЯТЬ ввели вначале, хотя по сто раз переспрашивал у менеджера того УЦ, как потом оказалось надо чуть другое, азазаз. То блять они счёт выставили с левым договором, то блять люди ещё хуй заявки заполняют (они разбросаны по области, ок да?), короче посоны лютый дроч пока, всё ОКОЛОИБЭ, но хоть какой-то опыт, хотя и сомнительный. ВСЕ СРОКИ ГОРЯТ БЛЯТЬ, ДЕЛАЕТСЯ ВСЕ ВПРИТЫК, ТОТАЛЬНЫЕ ПРОЁБЫ РУКОВОДСТВА ВО ВСЕМ, А ГОРИТ У МЕНЯ. Извините, надо было.
ОП почти поехавший
ОП почти поехавший
Постепенно разные мелочи скатываются в комок, который всё может накрыть у хуям, пожалуй это первое, что я усвоил на этой работе.
ОПэ
ОПэ
Ещё прикол такой, что как только устроился почти каждый день стал ловить дежавю, предположительно я видел все дела, которые щас творятся месяца 4-6 и это уже начало напрягать
Мимо оффтоп ОП
Мимо оффтоп ОП
да норм всё, не гоняй. С УЦ только первый раз тяжко, потом замечать этого не будешь.
Два совета: оформляй скопом, чтоб потом истекли одновременно;
заведи расписание в котором сроки окончания действия пиши, чтоб со сменой не проебаться.
Ох анон, сегодня прямо почти блажь была, особо ниче и не делал, так тупо пиздил по телефону бабкам и полоумным админам зачем им эп заказали и как чё подключать и регать, правда это другие эп, а не те, с которыми я ещё дрочусь.
P.S. никогда раньше не думал, что написав тщательно разжеванную инструкцию, половина людей будет делать наоборот.
Анон, у тебя первая работа чтоле? Нет пределов тупости, запомни.
Почти законы Мерфи и отнесись серьёзно.
Кажется ОПик попал в дерьмище - через полгода ты уже весь погрязнешь в бумажной волоките
ОП на связи,да первая работка, щас чет успокоился и ваще не колышет, даже особо не напрягает, что ещё эп заказывать надо для разных нужд дохуя, но то,что попал я в дерьмище ещё понял со второго дня, ПРЕВОЗМОГАЕМ
А знаешь ОП, что ещё более пиздец чем ты делаешь? Всё тоже самое но на защищенных линуксах. Только пользователи у них бывают суровее и ответственность.
Короче, крепись ОП.
Проработал [быдло]одмином 5+ лет, понял что интересен пентестинг, реверсенжениринг, писание всяких вирусов, вот это всё. Нихуя не знаю по теме, кодить даже на пэхэпэ не могу (минимальная база, всё же, имеется, нет опыта никакого, но научиться быдлокодить простые тулзы на стандартных библиотеках длл-ек, думаю, смог бы относительно быстро, был бы стимул). Так вышло, что скоро надо будет искать работу, и выбор таков:
1) Опять идти в шарагу, где надо будет на говне 5летней давности поднимать убогие сервисы, заправлять картриджи, и выбивать деньги на постоянно горящие длинки, не получая никокого опыта и тратя время на текучку, забивая голову второстепенным моим интересам говном.
2) Надеяться выиграть в лотерею билетик в тырпрайз (вполне могу не пройти по возрасту на аникея-хелпдеска уже, да и диплом у меня из технаря и непрофильный вообще; а на полноценого тырпрайз админа не хватит знаний).
3) Таки прямо сейчас решительно искать место, которое мне поможет к цели двигаться.
Вот по поводу 3 пункта - что скажете за тестировщиков? С одной стороны, з.п. не меньше, чем у админа даже в тырпрайзе. С другой, вроде как что-то похожее на поиск уязвимостей + там ещё и разные специализации есть. Сойдёт для первого шага? Какие подводные камни?
1) Опять идти в шарагу, где надо будет на говне 5летней давности поднимать убогие сервисы, заправлять картриджи, и выбивать деньги на постоянно горящие длинки, не получая никокого опыта и тратя время на текучку, забивая голову второстепенным моим интересам говном.
2) Надеяться выиграть в лотерею билетик в тырпрайз (вполне могу не пройти по возрасту на аникея-хелпдеска уже, да и диплом у меня из технаря и непрофильный вообще; а на полноценого тырпрайз админа не хватит знаний).
3) Таки прямо сейчас решительно искать место, которое мне поможет к цели двигаться.
Вот по поводу 3 пункта - что скажете за тестировщиков? С одной стороны, з.п. не меньше, чем у админа даже в тырпрайзе. С другой, вроде как что-то похожее на поиск уязвимостей + там ещё и разные специализации есть. Сойдёт для первого шага? Какие подводные камни?
>Опять идти в шарагу, где надо будет на говне 5летней давности поднимать убогие сервисы, заправлять картриджи, и выбивать деньги на постоянно горящие длинки, не получая никокого опыта и тратя время на текучку, забивая голову второстепенным моим интересам говном.
Проиграл в голосяндру.
ОП тута. Поясните за хранение эп. В каких доках описаны правила хранения и че над делать. В ФСБ 66 только общие моменты.
Ещё раз ОП, нашёл приказ фапси 152 с формами, но это древность и основана на другой приказ и получается кроме ФСБ 66 нихера нет, я хз че делать
На форумы тебе любезный. С ПД щас хуй проссышь что. Я из под 152 вышел к счастью, поэтому современных дискурсов в вопросе не ведаю.
Антош, ты чуть промахнулся, я про древний ПРИКАЗ ФАПСИ 152 по учету СКЗИ, который ещё вроде как действует, лол, но не суть, все-равно тож на форумы пойду.
>
>Антош, ты чуть промахнулся, я про древний ПРИКАЗ ФАПСИ 152 по учету СКЗИ, который ещё вроде как действует, лол, но не суть, все-равно тож на форумы пойду.
По учету и хранению ничего и не придумали со времен 152 приказа. Недавно от ФСБ приказ по защите ПДн криптографии таки выкатили, но там немного не по твоему вопросу(http://www.rg.ru/2014/09/17/zashita-dok.html(.
Бумп
По опыту видел, как админы с образованием уровня ПТУ-Колледж учатся в ВУЗах и поднимаются в общем-то, но у них за плечами АйТишный опыт. Как вариант, пойди в ВУЗ на бакалавриат вечерний, пока не прикрыли(типа кокококо технические специальности не должны быть вечерними)
Желательно на направление более к айтишной безопасности, лучше уточнить учебный план, у нас на комплексной ИБ практические работы были по шипке, криптону, стопудовой очистки памяти, криптоалгоритмы на mathematica, и один раз AD домен поднимали, ничего интересного, кроме ебли с mathematica, сайты делали на php+mysql. Кинули ссылок, показали код основных элементов и ебитесь. Если действительно по учебному плану будете тормозить вирусы, разворачивать антивирусы, трафик перехватывать, шифрованьки делать всякие это збс.
А если кодить - лучше прогерские факультеты.
Секуритач, посоветуй годных книг по криптографии. Не знаю даже зачем, захотелось погрузится в тему.
Точнее так, какую бы литературу по теме вы бы назвали однозначным мастхевом обязательным к прочтению каждым кто интересуется данным вопросом?
Точнее так, какую бы литературу по теме вы бы назвали однозначным мастхевом обязательным к прочтению каждым кто интересуется данным вопросом?
applied cryptography
Эх, поцоны
Бля, посоны, какое же это болото гос контора, яебу, как бы под раздачу не попасть, когда проверка придет, наверное хорошо, что я не спешу себе ди писать, а то уж руководство поддавливает
ОП
ОП
Ух, прочитал полтреда и чуток прихуел. ИБшники, а какую-ту ненужную хуйню несут про службу в говнармии и прочую ересь. Сам работал реверсером сперва, сейчас занимаюсь экспертизами, связанными с инцидентами, в осномном по поводу хищения денег с использованием малвари. Частная контора, ДС. Спрашивайте ответы, если интересно.
Ребятки, расскажите а где реально пацаны угорают по безопасности, дышат параноидальными алгоритмами шифрования, подписывают каждый чих электронной подписью и все такое. Суть токова раньше работал в крупной госконторе, с департаментом защиты гостайны полным кгбшных старперов, вторая форма, распределенная сеть, криптошлюзы, защищенный цод. Админил как раз эту сеть, КСЗИ, пару граничных фаерволов. Все на первый взгляд хорошо. Но если не копнуть. По факту все делается на отъебись, вся безопасность на бумаге, про аудит из ФСБ все знают за месяц и делают красиво. Аудиторы кладут на все хуй и сразу идут бухать с начальником безопасности. Максимум с макспатролом пробегут вайфай дырявый поищут. Сейчас работаю в крупном энергетическом холдинге. Все еще хуже, за полгода работы в отделе ИБ, поиграл в NGF, чекпоинт, циска, палоальта. Я поигрался и все забили хуй. Больше я не делал нихуя. Совсем. Я приходил и просто сидел, смотрел ютуб, двачевал капчу. За что не возьмешься - тут пиздец. Внедрить хоть что нибудь - нереально. В инрастуктуре дыра на дыре. У каждого пятого свой WiFi роутер стоит. Бля, да перечислять все - заебешься, на половину железок сетевых доступ по telnet. На старых прокурвах вход вообще без пароля. Проект по защите персданных сделали как боги. Купили железо, я его смонтировал настроил и выключил. Проект закрыли на бумаге. А сейчас я от скуки и безысходность решил CCNP Security сдать. Блядь сколько там всяких няшных штук. А ими никто не пользуется.
>А чуваки из отдела "К" дохуя получают?
60к в звании майора. Инфа годовой давности, проводил экспертизу для них, разговорились что да как, звали к себе, послал нахуй. В суде еще показания давал как эксперт. Что ж вы все рветесь в ментовки и к гэбилам? Что там ловить? Если уж на кого и ровняться, то это на Хомакова например.
По мне - так однозначно не стоит. Профиты сомнительны, а минусов - вагон и маленькая тележка.
i know dat feel, bro
хуй знает где пацаны реально угорают по безопасности. мне такого не попадалось в ынтырпрайзе русском.
йо, чо нужно уметь чтоб к вам попасть? я умею в форензику и экономическую иб. расследовал для банков дружественных несколько кейсов.
Посоны, тут такой расклад: есть два кресла, на одном я сейчас, другое предлагают.
Сейчас: начальник отдела из меня самого в составе СБ конторы. финансовая компания штатом чуть больше 100 человек. работаю полтора года. запилил несколько систем, но всё достаточно болотисто. бюджет на след год не согласовывают, бабла на длп не будет, падавана в отдел не дадут. ИБ ипёт менеджмент только в плане комплаенса.
Предлагают: начальником службы ИБ, создаваемой с нуля. перспективы туманны. ИТ-контора овер 200 человек, 100 из них разрабы. Хотят: чуток по 152 и защиту веб-приложений по-настоящему.
На другое кресло хочется, но я очкую по двум моментам:
нет опыта по вебу и по ИБ разработки (потенциального работодателя этот момент устраивает);
200 "самых умных" итшников смущают меня в качестве паствы.
Чо скажете, ибэшнеги?
Сейчас: начальник отдела из меня самого в составе СБ конторы. финансовая компания штатом чуть больше 100 человек. работаю полтора года. запилил несколько систем, но всё достаточно болотисто. бюджет на след год не согласовывают, бабла на длп не будет, падавана в отдел не дадут. ИБ ипёт менеджмент только в плане комплаенса.
Предлагают: начальником службы ИБ, создаваемой с нуля. перспективы туманны. ИТ-контора овер 200 человек, 100 из них разрабы. Хотят: чуток по 152 и защиту веб-приложений по-настоящему.
На другое кресло хочется, но я очкую по двум моментам:
нет опыта по вебу и по ИБ разработки (потенциального работодателя этот момент устраивает);
200 "самых умных" итшников смущают меня в качестве паствы.
Чо скажете, ибэшнеги?
>200 "самых умных" итшников смущают меня в качестве паствы.
Если хоть половина из них не днища и от тебя нужен реальный скил иб, а не говноменеджмент, то тебе пизда.
Учитывая, что у тебя был охуенный одтел из тебя самого и все было болтисто - то тебе точно пизда при любом раскладе.
>начальник отдела из меня самого в составе СБ конторы
>чуток по 152 и защиту веб-приложений по-настоящему
В первом случае ты получаешь стабильный доход и развитие скилов комплексной безопасности, а так же свободное время на прокачку любых направлений, во втором случае- узкая специализация по вебу.
Если ты до сих пор вебом активно не занимался, не интересовался и пытался двигаться по линии комплекса- нехуй тебе там делать. В первом случае ты сможешь тоже освоить этот веб, если тебе прямо так хочется, только неспешно и без фанатизма, при том сохраняя остальные плюшки.
Соус гифки, плз
ВКАТИЛСЯ В ТРЕД, ДУМАЯ ЧТО ТУТ РЕАЛЬНЫЕ БЕЗОПАСНИКИ ОБСУЖДАЮТ СМЕШНОЙ 152-ФЗ И ДРЕВНЮЮ 3-1
@
ШКОЛЬНИКИ МЕРЯЮТСЯ ФАЙЕРВОЛАМИ И FREEWARE СЗИ ОТ НСД
@
ВЫКАТИЛСЯ ИЗ ТРЕДА
@
ШКОЛЬНИКИ МЕРЯЮТСЯ ФАЙЕРВОЛАМИ И FREEWARE СЗИ ОТ НСД
@
ВЫКАТИЛСЯ ИЗ ТРЕДА
Выезд за границу по решению руководителя (форма на с) или по согласованию с фсб (форма сс). Обе эти процедуры - формальность и существуют чтобы оправдать необходимость существования трухлявой бабки в первом отделе (а то и всего первого отдела).
Интересно, как ты 3-1 обсуждать собрался, если она под грифом? Ананасы из безопасности, просветите:
1. Доплачивают ли за оформленный допуск или это входит в требования к замещаемой должности и отдельно никак не оплачивается?
2. Как соотносится допуск и факт ознакомления. Если у меня есть допуск по 2 форме (допустим), но нет самого факта ознакомления, то будет ли это препятствием для выезда за границу на отдых?
ДАВАЙ ОБСУДИМ УРОВЕНЬ ЗАЩИЩЕННОСТИ ТВОЕГО АНУСА))) КАКИЕ ПИНУСЫ В НЕМ ОБРАБАТЫВАЮТСЯ?)) СКОЛЬК ЧЕЛОВЕК ОБРАБАТЫВАЕШЬ?))) КАКИЕ УГРОЗЫ МОЖЕТ СОДЕРЖАТЬ ТВОЙ АНУС?))))
ну посмотрим. отпишу месяца через три.
какая пизда тоже поглядим, трое главных ИТ со мной разбирали кучу кейсов в течение почти трёхчасового собеседования.
в тупик ни разу не загнали.
и да, соус гифки скажи.
собственно, ухожу ибашить хайлоад. посмотрим чего выйдет.
Удачи тебе, бро.
Соус:
http://www.youtube.com/watch?v=ta9ia3lERWg
http://vk.com/video-15978002_140689064
Есть, конечно, там где ебут хорошо и ИБ объяснять начальству, что "так" делать не правильно, а "вот так" збс.
Решение:
Ненависть, положения, регламенты, СБ+ИБ, система наказаний. И всё у тебя будет заебок, имхо.
Ок, админы внятно ответить не смогли, может это по вашей части. Поясните за same origin policy в бровзерах, которая, вроде бы, призвана защищать от CSRF и которую, вроде бы, преодолевают, например, с помощью DNS rebinding.
Что это? Это реальный [стандартизированный] механизм, который встроен в каждый бровзер? Где его подробное описание найти? Или это список рекомендаций/стандарт, который реализуется каждым автором каждого приложения (или не реализуется, по желанию)? Опять же, где найти этот список?
Что именно эта policy ограничивает? Пока что понял только, что железно она ограничивает только доступ скриптов с одной страницы (загруженной и открытой в бровзере) к объектам-содержимому другой, если у страниц не совпадают домены (есть легальные способы разрешить доступ, через приведение их к общему домену, и через посылку сообщений специальным механизмом ок). Но вот насчёт HTTP запросов, возникающих с этих страниц не могу понять, нет чёткой картины.
Во-первых, кем-то писалось, что скрипты, загруженные на конкретную страницу, имеют полный доступ к её содержимому, всегда, даже если они были загружены с совсем левого домена через XSS.
Во-вторых, пишут что, вроде бы, same origin policy не позволяет контенту с одной страницы (скрипту, или форме с кнопкой, которая генерит POST/GET запрос по нажатию) обращаться по HTTP к сайту вне домена, из которого был загружен скрипт. Например, тот же dns rebinding это изъёбство чтобы обойти это ограничение. С другой стороны, есть такая атака как CSRF, которая как раз и делает именно это - спокойно себе обращается с левого сайта к другому (где юзвер залогинен). Меня аж трисёт уже от таких противоречий.
В-третьих, ссылки же с одного сайта на другой работают, если на них крикнуть, т.е. никакая same origin policy не блокирует такой переход.
В-четвёртых, что такое cross domain policy, она как-нибудь связана с same origin? Я так понил, это какое-то изобретение от адоба, и оно пытается определять с какого источника (и какие) HTTP запросы можно посылать разным страница сайта. Типа, это для борьбы с CSRF? Нахуя, если есть уже надёжный способ со включением секретного параметра при передачи странички юзверу (token там какой-то), который попадёт во все HTTP запросы, которые с этой страницы будут в дальнейшем (т.е. у атакера не будет этого параметра, он передаётся только владельцу сессии и внешнему мимокроку не доступен)?
Что это? Это реальный [стандартизированный] механизм, который встроен в каждый бровзер? Где его подробное описание найти? Или это список рекомендаций/стандарт, который реализуется каждым автором каждого приложения (или не реализуется, по желанию)? Опять же, где найти этот список?
Что именно эта policy ограничивает? Пока что понял только, что железно она ограничивает только доступ скриптов с одной страницы (загруженной и открытой в бровзере) к объектам-содержимому другой, если у страниц не совпадают домены (есть легальные способы разрешить доступ, через приведение их к общему домену, и через посылку сообщений специальным механизмом ок). Но вот насчёт HTTP запросов, возникающих с этих страниц не могу понять, нет чёткой картины.
Во-первых, кем-то писалось, что скрипты, загруженные на конкретную страницу, имеют полный доступ к её содержимому, всегда, даже если они были загружены с совсем левого домена через XSS.
Во-вторых, пишут что, вроде бы, same origin policy не позволяет контенту с одной страницы (скрипту, или форме с кнопкой, которая генерит POST/GET запрос по нажатию) обращаться по HTTP к сайту вне домена, из которого был загружен скрипт. Например, тот же dns rebinding это изъёбство чтобы обойти это ограничение. С другой стороны, есть такая атака как CSRF, которая как раз и делает именно это - спокойно себе обращается с левого сайта к другому (где юзвер залогинен). Меня аж трисёт уже от таких противоречий.
В-третьих, ссылки же с одного сайта на другой работают, если на них крикнуть, т.е. никакая same origin policy не блокирует такой переход.
В-четвёртых, что такое cross domain policy, она как-нибудь связана с same origin? Я так понил, это какое-то изобретение от адоба, и оно пытается определять с какого источника (и какие) HTTP запросы можно посылать разным страница сайта. Типа, это для борьбы с CSRF? Нахуя, если есть уже надёжный способ со включением секретного параметра при передачи странички юзверу (token там какой-то), который попадёт во все HTTP запросы, которые с этой страницы будут в дальнейшем (т.е. у атакера не будет этого параметра, он передаётся только владельцу сессии и внешнему мимокроку не доступен)?
А тебе реально срочно надо? Я бы расписал тебе расклад, но в понедельник-вторник.
лучше объясните праздник сегодня или нетсобираюсь нажраться и буянить
Сегодня празник ЗИ-ИБунов
Что с нами будет?
Короче, и одмины, и безопаснички мамкины вопрос не асилили. Вся суть сосача, лалз.
>>рабочие машины на интеле с бэкдорами
Безопасник-кун, насколько это опасно?
И что оно такое, дырка под эксплоит, вшитый железный кейлоггер или вообще процессор в процессоре с собственным исполняемым пространством и полным доступом к памяти?
Доступ только у пендосов есть, или не только?
По теме навскидку:
http://www.securitylab.ru/contest/437841.php
http://www.securitylab.ru/contest/438339.php
http://www.securitylab.ru/analytics/432914.php
Опасность пропорциональна ценности обрабатываемой информации и сложности ее получения. Маловероятно, что вас это может касаться, но из виду упускать не стоит.
По видам- в зависимости от типа изделия.
>дырка под эксплоит
да, обычно в сетевой аппаратуре
>процессор в процессоре
а это уже непосредственно в пэвм
>Доступ
По линии процессоров и материнок- натовские разведки.
Остальное- всякое может быть, почитай вот эту статью, сделай вывод.
http://xakep.ru/58104/
>same origin policy
это ни от чего не защищающая херня, которая легко обходится.
Насколько COPМ может в VPN и TOR?
>>Там же болото, всю жизнь потом не отмоешься.
В смысле детей едят и с этим жить, или в твоей области бывших не любят сильно?
Чтож-за тред то унылый такой?!
Посоны, OWASP курил кто-нибудь? Мне он по части девелопмента потребовался, мож кто ёбся уже.
Меня ща кста из биг-4 аудитор пытался интервьюировать:) Где сел - там и слез.
Посоны, OWASP курил кто-нибудь? Мне он по части девелопмента потребовался, мож кто ёбся уже.
Меня ща кста из биг-4 аудитор пытался интервьюировать:) Где сел - там и слез.
Магистры и маги безопасности, админ, профильная системы и сети вышка, опыт работы 5 лет, большая фирма с собственной серверной.
Начальник на старости лет угорел по КР и ИБ конкуренты повсюду лол.
Раздумываю идти ли на второе высшее за счет фирмы по ИБ или уламывать экселенца на сертификацию.
Что гуру посоветую по КР пока почитать?
Путем упорного гуглопоиска составил пока такой список.
Бурьяк, Доронин, Воронов, Нежданов, Лемке, Ющук, Плэтт, Хант?
или это все шлак?
Начальник на старости лет угорел по КР и ИБ конкуренты повсюду лол.
Раздумываю идти ли на второе высшее за счет фирмы по ИБ или уламывать экселенца на сертификацию.
Что гуру посоветую по КР пока почитать?
Путем упорного гуглопоиска составил пока такой список.
Бурьяк, Доронин, Воронов, Нежданов, Лемке, Ющук, Плэтт, Хант?
или это все шлак?
>Что гуру посоветую по КР пока почитать?
Знаешь анекдот про практику и опыт?
>Раздумываю идти ли на второе высшее
Образование профильное необходимо в основном при аттестации АС, ИБ которых ты обеспечиваешь. Вообще, если ты хочешь вписываться плотно в этот расклад, то лучше получить вышку.
Можно и курсы переподготовки, это проще, но к ним требования внезапно могут поменяться.
В любом случае, тебя ни там ни там ничему не научат, осознавай что делаешь это для получения ачивки "гумага".
Если ты не сильно давно закончил универ, то скорее всего тебе много перезачтут, потому как программа подготовки во многом схожа. Но есть подъёбка, постоянно меняются ГОСы, поэтому часть предметов банально сменили названия и их придётся сдавать заново.
Одному моему другу, который имел корки специалиста ВМКСиС насчитали меньше двух лет учёбы на бакалавра ИБ на вечерке.
И ещё ньюанс. Со вторым высшим по ИБ в стране напряг!
Спасибо за наводку, Антош.
>>Знаешь анекдот про практику и опыт?
Не, рассказывай.
Да уже приходится этим заниматься, найди то, не знаю что. Начальник тот еще овен. проще дать, чем объяснить почему нельзя
Ну или буду уламывать его взять еще спеца заморского профильного.
Посоветуй что будет почитать на пользу. Ну и если будет новый сотрудник - чтобы совсем в грязь лицом не ударить, все равно работать вместе придется.
Да, CISSP - годный скилл?
аноны, поясните за иб, стоит ли изучать и идти по этой линии в гос. органы?
Учусь на 2 курсе местного вуза, тех. специальность, связанная с программированием, на деле нихуя.
Поступил на военную кафедру. Рассказали об охуительном варианте идти после вуза и с погонами даже не в отдел "к", а в фсб. Стоит ли?
Учусь на 2 курсе местного вуза, тех. специальность, связанная с программированием, на деле нихуя.
Поступил на военную кафедру. Рассказали об охуительном варианте идти после вуза и с погонами даже не в отдел "к", а в фсб. Стоит ли?
Безопасник-куны, поясните за биометрические паспорта.
Что они из себя представляют с технической точки зрения, наши и сшп\ес отличаются?
Они реально добавят безопасности?
А сейчас в загранах есть какие-то штрих-код или магнитная полоса?
Что они из себя представляют с технической точки зрения, наши и сшп\ес отличаются?
Они реально добавят безопасности?
А сейчас в загранах есть какие-то штрих-код или магнитная полоса?
>Начальник на старости лет угорел по КР и ИБ
Определитесь там, что именно вы хотите мутить. ИБ большое. КР- конкурентка или контр?
>второе высшее
Удачи найти по КР. Она тебе пригодится.
>Бурьяк, Доронин, Воронов, Нежданов, Лемке, Ющук, Плэтт, Хант?
Я так понимаю, ты нагуглил тот сборничек книжек ось-89.
Тебе, как сисаду, рекомендую осваивать компьютерную безопасность, и за ее пределы сильно не выходить. После изучения можешь аккуратно переключиться на изучение иб. Кр- вообще отдельная тема, где решает практика именно работы с людьми, туда лучше взять либо бс с опытом, либо юриста/сейла/прочую социоблядь и его натаскать.
>>КР- конкурентка или контр?
Конкурентная. Контр не требют слава богу И я так понимаю, что это еще более специфичная область.
>>Я так понимаю, ты нагуглил тот сборничек книжек ось-89.
Нет, долго сам ковырялся и отбирал те, что хотя бы бредом не казались. Про сборник первый раз слышу. Порекомендуешь что-то?
>>туда лучше взять либо бс с опытом, либо юриста/сейла/прочую социоблядь и его натаскать
Думаю этим и закончится. Но самому интересно разбираться и что касается интернета-компьютера поиск-анализ все эти OSINT думаю все равно на мне будет. Так хоть буду понимать о чем речь.
Это по большей части менеджерская поебень для пиджаков. И геморно получать. И нужна только если хочешь полутоп-ИБ-пиджаком работать в конторе на многая тысяч человек.
Короче, угорать на сертификат не стоит, а мануал вкурить можно. Есть годная книга весьма, Харрис, даже с переводом.
Нормальный кирпич, я прочитал чисто для общего развития, по технической части почти ничего нового не почерпнул.
>Про сборник первый раз слышу. Порекомендуешь что-то?
Загугли его. Начинай с доронина, бизнес разведка, дальше разберешься.
>что касается интернета-компьютера
На тебе будет скорее общая защита сети, максимум добывание по линии osint либо основы радиотехнической разведки(твой потолок), аналитику и агентурную работу ты не потянешь.
Алсо, велика вероятность, что ты проебешь свои основные обязанности, сисадминство- очень глубокая тема, которая сама по себе требует дохуя сил и времени, смешивать же IT обеспечение и комплексную безопасность- крайне неразумная идея.
>>аналитику и агентурную работу ты не потянешь
уже начинаю догадываться. но очень блин интересно, давно с таким зарядом ничего нового не осваивал
Агентурную - наверное даже пробовать не буду. Бегать в черном плаще немного не мое.
А вот аналитику - очень хочется хотя бы по верхам посмотреть-попрбовать век живи - век учись
Но не знаю что почитать годного.
>>Алсо, велика вероятность, что ты проебешь свои основные обязанности
Возможно, но не страшно. Есть еще два негра-полуаникея, текучку вывезут. Да и забодала вся эта тема, самому хочется чего-то нового и интересного.
Анон, помни, что по понятиям, не положено ибэшнегу в эксплуатацию. ТЕ очень плохо, когда главадмин и ИБ это одна персона. Бойся больших прав, они легко обернутся большими подозрениями, если инцидент приключится. Позаботься о том, чтобы велся хороший лог твоих действий, недоступный никому, естественно.
Спасибо, учту. На эту тему что можно полистать?
Да ХЗ что почитать. Ограничения в стандартах всех отличаются. Я тебе общий случай, основанный на опыте рассказал.
Но ибэшенег должен работать красиво, по-любому. Чтоб ни одна сука ничо предъявить не могла.
Потому что, как только ты начнешь работать эффективно, недоброжелатели не замедлят появится. К этому моменту твоя личная безопасность должна быть в поряде.
На меня и анонимки писали, и инциденты пытались списать, типа ибэшнег сам пугает, бюджеты клянчит.
Ахренеть. Я конечно не думал, что любая фирма - это цветущий луг.
Но чтобы свои же телеги катали...
>>Да ХЗ что почитать
Мне хотя бы минимум, для того чтобы вникнуть в тему и не тратить время на макулатуру.
Сложно выбрать что хлам, а что не очень.
Ну и с засильем коммерческой литературы из 20 видов разных обложек совсем грустно.
ОП врывается в тред
>типа ибэшнег сам пугает, бюджеты клянчит
И как решил? Пригрозил чем? Вообще, что понял за почти 3 месяца, что надо лишнюю ответственность с себя всегда скидывать. Испыталовка почти прошла, но у меня какое-то необъяснимое чувство, что я могу прогнуть всех под себя, главное правильно всё расписать и знать больные точки.
Никак не решал, собаки лают - караван идёт. Сделал по уму почти сразу, полномочий в продуктиве никаких, ну и предъявить по факту нечего.
>Но чтобы свои же телеги катали...
В данном случае ИБшнег не умеет в оперативную работу, потому заминает подобные факты.
Лично я считаю, что подобные начинания для коллектива очень важны, главное- направить инициативу в нужное русло. Пускай коллектив катает телеги друг на друга, кстати, даже автора анонимки можно отследить через комплекс мер, от кейлоггеров до анализа семантики и профилирования. Ну и в каждой подгруппе рабочего коллектива должны быть лояльные сотрудники, прижатые за яйца, как минимум для получения оперативной информации и проведения мероприятий по формированию общественного мнения и настроений.
>>проведения мероприятий по формированию общественного мнения и настроений
Мне всегда казалось, что в таких вопросах часто господа безопасники только щеки надувают. Был себе допустим СМ, а тут пришел в банк и стал великий Гудвин. Не верю.
мимокрок
я тоже с трудом верю. первый_отдел головного мозга какой-то.
СБшные трюки какие-то описываются. тру иб-джедаи об такое не должны мараться.
Почитать о методике таких чудес где-то можно?
номерные методички не прошу.
>>Ну и в каждой подгруппе рабочего коллектива должны быть лояльные сотрудники, прижатые за яйца, как минимум для получения оперативной информации и проведения мероприятий
Я бы еще добавил, что такие методы не всегда приемлемы и не везде нужны. Например в средней программерской конторе из 200 лиц достаточно поставить себе на стол печенья и банку варенья
И выслушивать всех желающих. Они к вам сами со всеми проблемами будут ходить и рассказывать даже как здоровье у тещиной кошки.
Потом еще и бегать от них придется, чтобы в потоках соплей не утонуть.
Толковые опера по своей сути умеют в социум. А если брать оперов специально обученных, начиная фсином и заканчивая n ведомствами- эффект будет однозначный. Кроме того, большой опыт на руководящей должности в системе дает достаточно интересные скиллы и прокачивает нужные характеристики.
>тру иб-джедаи
Обязаны если не уметь, то хотя бы понимать картину в комплексе. Аутисты, судорожно дрочащие софт, нужны далеко не везде. КРщики над такими глумятся и унижают, и, тащемта, правильно делают.
Тут уже вбрасывали литературу по конкурентной разведке- ознакомься. Так же, практическая психология в данном случае тоже будет полезна. Принципы в своем большинстве простые- контроль лидеров, манипуляция стадным инстинктом, вытягивание информации с аутсайдеров и т.д.
>такие методы не всегда приемлемы и не везде нужны
Публично о них можно не заявлять, но:
-особые ситуации требуют особого подхода
-сани готовь летом
Вывод сделаешь сам.
Причин много, перечислять все лень, опять таки. Навскидку- допустим, человека могут прижать за яйца некие обстоятельства, тогда у него внезапно могут появиться различного рода НДВ, и все это печенье с вареньем ему станет похую. Без реальных рычагов влияния на него либо его близких будет ой как сложно.
>И выслушивать всех желающих, Потом еще и бегать от них придется
Неверная тактика, ибо перегрузка СБ информационным шумом. СБ должна вербовать агентуру и пользоваться ей, ибо: 1. предфильтрация потока данных разгружает СБ 2. индивидуальный подход к людям дает более широкие возможности анализа и классификации полученной информации 3. негласность мероприятий развязывает источнику язык 4. отсутствие моральных загонов среди коллектива, подробнее ищите статьи на тему "психология информатора", там все достаточно неплохо поясняется. 5. возможность работы под чужим флагом- тоже есть благо.
Благодарю.
По книжка вопрос все же
В ветке было
>>Бурьяк, Доронин, Воронов, Нежданов, Лемке, Ющук, Плэтт, Хант?
>>Я так понимаю, ты нагуглил тот сборничек книжек ось-89.
Их читать? Смотрел пока по диагонали, большая часть очень напоминает бизнес-литературу формата текст ради текста.
Что из них стоящего.
Попадалась еще Р-Система
http://www.cfin.ru/books/book10.shtml
Как можно оценить сожержание? Стоящая книга или фантазии автора?
Бро, молю тебя, начни свой путь в ИБ с фундаментальной теории.
Почитай что-нибудь по ТИБ и МЗИ, книг нормальных довольно.
Почитай про менеджмент ИБ - Харрис, однозначно.
А потом и в шпионов начинай играть.
>Что из них стоящего.
Доронин нормальный, для начала самое то, после ознакомления уже будешь примерно знать, что читать дальше и что хочешь.
>Р-Система
Не читал, по содержанию- годнота, по факту- проверю в новогодние праздники, пока не до этого.
>начни свой путь в ИБ с фундаментальной теории
Ящитаю, что надо начинать с кратких основ теории и хорошей практики, теорию изучать по мере необходимости. В этой стране деньги приносит практика, ее и вкачивайте.
Вечер в хату, поИБэшники!
Инженер установщик-внедренец тех самых секретнетов, соболей, континентов, випнетов, сетевого оборудования и вообще всякой ит-хрени ИТТ.
Тред у вас интересный, так что буду сюда периодически наведываться.
Инженер установщик-внедренец тех самых секретнетов, соболей, континентов, випнетов, сетевого оборудования и вообще всякой ит-хрени ИТТ.
Тред у вас интересный, так что буду сюда периодически наведываться.
Что про СОРМ и ТОР поведаешь?
Здаров! Покупатель
>тех самых секретнетов, соболей, континентов, випнетов, сетевого оборудования
выходит на связь. Ты бы ответил на вопросы про них?
Сорм есть, аж три вида (больше мне пока нельзя знать), за всеми таки следят и будут ещё сильнее следить. Через ТОР также могут найти.
Здравствуй!
Конечно, задавай вопросы.
что как по зп? сколько лет работаешь?
Что посоветуешь по защите от НСД к рабочим местам?
Конкретно в ИБ уже 3 года, до этого было более широко (аутсорсинг, админство, там приходилось решать всё, ну а здесь основное - ИБ плюс нужно решать попутные проблемы).
По ЗП - есть два стула: можно сидеть в офисе (документация, стенды, новые продукты, пресейлы\остальное) и ездить по ДС, тогда будет ещё больше скилла или мотаться по командировкам и на этом подниматься, но скилл качается меньше. У конкурентов ЗП выше на 40-80к, но за счёт годных командировок (есть ещё проблемные) можно сравнивать заработки и даже получать больше.
Конечно же SecretNet 7.3 и Соболь (есть даже для ноутов), они сертифицированы всеми, с ними пройдёшь любые проверки, адекватные установщики и суппорт.
>> Через ТОР также могут найти.
За что будут, а за что анон нафиг не нужен будет суровым дядям?
Да, и насколько привлекает внимание вообще сам факт использования анонимайзеров? и сидения на двачах лол
бабахинг, шпионаж и покушения на первых лиц не берем. там понятно найдут и вые...
Будут за всё, если будет на это указание сверху (был бы человек, а дело найдётся). Не нужен за то, что никому не мешаешь, не отсвечиваешь, не переходишь дорогу, не наглеешь (заказывать дурь, оружие, обсуждать перевороты).
Естественно привлекает, в первую очередь на контроль можно поставить тех у кого весь траффик идёт через один хост (впн\ссш-туннель и т.д.).
Вообще есть "как бы ключевые слова", так же как и по телефону, после чего может начаться выборочная слежка и отбор (сначала автоматизированная, после может и ручная).
И что, так запросто VPN вскрывают?
>Не нужен за то, что никому не мешаешь
+
Важное дополнение: либо не знают, что кому-то мешаешь.
>Естественно привлекает, в первую очередь на контроль можно поставить тех
-
1. Под контролем и так все 2. инициировать орм/стм по признаку использования vpn никто не будет.
>как бы ключевые слова
Допустим, но это работает не так.
>так же как и по телефону
-
Только индивидуальные речевые характеристики, а не распознавание речи. Распознавание ведется крайне выборочно, ибо его нужно подпиливать под объект. Пруфы у ЦРТ.
>>Естественно привлекает, в первую очередь на контроль можно поставить тех
>-
>1. Под контролем и так все 2. инициировать орм/стм по признаку использования vpn никто не будет.
Вот именно, дефолтово всё не очень низко логируется. DPI и инспекция трафика, после уже более узкое логирование.
>>как бы ключевые слова
>Допустим, но это работает не так.
>>так же как и по телефону
>-
>Только индивидуальные речевые характеристики, а не распознавание речи. Распознавание ведется крайне выборочно, ибо его нужно подпиливать под объект. Пруфы у ЦРТ.
Так индивидуальные уже после срабатывания слов из стоп-листа. Дефолтово же ожидается слово, потом ещё набираются слова, можно подумать как баллы, после чего уже тоньше обработка идёт. Ну и подпиливать - это вот уже серединно-последние этапы.
Не запросто. Для упрощения могут уже социалку применить и заражение. джва года рассмотрения из-за лени - это норма
>DPI и инспекция трафика
DPI уже много где прикручен, но толку от него не так уж и много. Грамотно поставленный VPN не вскроют, из правил- либо юзать массовые заграничные сервисы, там твой ip смешается с толпой других юзеров, либо делать doubleVPN, псевдослучайно подмешивая туда различного рода трафик. Тогда как минимум не смогут подсветить по точке входа и размерности трафика, а этого в большинстве случае достаточно для комфортной работы в штатных! условиях.
>после срабатывания слов из стоп-листа
Нет, как раз речевые характеристики постоянно мониторятся и сравниваются с блэклистом. Потому простая замена imei/imsi уже не катит.
Распознавание организуют в рамках орм, при появлении к объекту оперативного интереса и далее по списку. После чего выдачу обрабатывает машинка, потом- оператор, далее отправляют распечатки тем, кто просил.
Если найдешь программулину, которая будет хуячить распознавание в промышленных масштабах на территории нашей необъятной, учитывая сленг, акценты, анализируя психологическое состояние и контекст- можешь звонить хитрову лично и тыкать носом, пусть охуеет.
направленные антенны рулят. и проще намного.
ИБкуны, мимокрок в треде.
Тут выше писали, что многие в оперативную работу могут.
Случайно наткнулся на непонятную личность в баре, сидели с другом пиво пили и последние новости обсуждали.
Субъект прицепился по совершенно нейтральному поводу, потом явно начал переводить на политические темы разговор, при этом постоянно провоцировал ориентация-возраст-политвзгляды-национальность.
Пытался выудить личные данные образование -фио. Потом пошли разговоры что в баре делаете, знаете где протитуток достать, снова полит вопросы и подначки. И так по кругу.
Личность при этом колоритная, не быдло, не пьян, совершенно не похож на поехавшего представителя любой из партий, запоминающаяся, даже ипозантная внешность, правильная речь, отличная дикция. очень на моего бывшего преподавателя по Уголовному праву похож
Сам я точно не бомбист, в общественных организациях любого толка не состою, блогов не веду, от политики вообще далек, в целом вообще пропутинец, каюсь
Для чего могут проводиться такие мероприятия в общем случае и кем? и что это за нахрен было вообще
Тут выше писали, что многие в оперативную работу могут.
Случайно наткнулся на непонятную личность в баре, сидели с другом пиво пили и последние новости обсуждали.
Субъект прицепился по совершенно нейтральному поводу, потом явно начал переводить на политические темы разговор, при этом постоянно провоцировал ориентация-возраст-политвзгляды-национальность.
Пытался выудить личные данные образование -фио. Потом пошли разговоры что в баре делаете, знаете где протитуток достать, снова полит вопросы и подначки. И так по кругу.
Личность при этом колоритная, не быдло, не пьян, совершенно не похож на поехавшего представителя любой из партий, запоминающаяся, даже ипозантная внешность, правильная речь, отличная дикция. очень на моего бывшего преподавателя по Уголовному праву похож
Сам я точно не бомбист, в общественных организациях любого толка не состою, блогов не веду, от политики вообще далек, в целом вообще пропутинец, каюсь
Для чего могут проводиться такие мероприятия в общем случае и кем? и что это за нахрен было вообще
Если ты что-то хотел сказать- скажи, не стесняйся, ругать тебя никто не будет.
Хз. Может кто-то развлекается, может мониторят общественное мнение, может у кого-то планы горят. Либо не вступай в подобные разговоры, либо аккуратно калибруй собеседника, вбрасывая темы, которые могут его заинтересовать. Калибровка по сути банальна, если заинтересуется наркотиками- значит фскн, скинхедами- эшники, если тупо общая политика- значит просто собирает информацию для аналитики, и т.д. Скорее всего просто чей-то информатор, потому- не доверяй случайным знакомым и попутчикам, они вот это вот любят.
>> наркотиками- значит фскн, скинхедами- эшники
А если Новороссией, ЦРУ?
Вот эти в данном случае работают не напрямую, а через экс-снг, которое общается с всякими там независимыми центрами оналитеги. Последние же дают отчет по определенной выборке вполне легально.
Алсо, новороссией вполне себе может интересоваться кто угодно, втч и наше государство.
С линией госбеза я не работал, так что для более подробной информации поинтересуйся у других.
Ах да, дополнение: внимательно проанализируй разговор, особенно центральную часть, возможно, что твое внимание переключили. Интересующие вещи сходу не спрашивают, впрочем, как и не обрывают разговор сразу после получения нужной информации.
Анон, есть вышка по спецухе "Организация и технология защиты информации", недавно окончил срочную службу (засекречивающая аппаратура связи). До армии учился на очном и работал контент-менеджером (удобно совмещалось с учебой). Теперь хочу начать работать по специальности, но вообще не понимаю как начать. Пока ищу всякие вакансии вроде стажировок или из тех, что для студентов старших курсов.
Анон, подскажи что курить, как определиться.
Анон, подскажи что курить, как определиться.
Пэмин, снимать наводки с окон и с сетевого кабеля, с монитора и стен, бесплатно и без смс.
Если дс, то иди в джет, рстайл, информзащиту - тебя сразу возьмут. В регионах джет бывает ещё. Ну или в дс в восход иди, хех, но это грустнее.
> тебя сразу возьмут
В чем соль?
А так - от души, погуглю эти конторы.
Чем грустен "Восход"?
Стоимость таких мероприятий явно не позволяет использовать повсеместно.
У тебя отличный расклад! Профильная специальность и профильная армейка. Немного наглости и ищи контору которая работает с лицензией по криптографии (собирается её получить) - там такому будут рады. В ДЦ2 тебе платили бы тридцак в месяц просто за то что ты в штате числишься:) Есть конторы которые таких спецов как ты в аренду сдают, на время лицензионных мероприятий.
Короче, мой тебе совет: ищи не стажировку, а полноценную работу на которую с 2-3 годами стажа берут. Армейка для тебя опытом работы является, исходи из этого.
По поводу того, что ты там делал, никто не мешает соврать или смолчать с серьёзной рожей, сославшись на NDA.
я имел в виду, что чем городить стопицот туннелей, можно спокойно навестись на кафешку за окном и работать.
ФГУП Восход - госпредприятие, суточные маленькие, совок имеет место быть, рабочие места неудобные и т.д., но там белая зп, в отличии от остальных.
> Профильная специальность и профильная армейка
Ну тут - да, на это и был расчет изначально.
> Есть конторы которые таких спецов как ты в аренду сдают
В том-то и дело, что спец из меня как из говна пуля, но я хочу им стать. Вся глупость в том, что я не знаю в каком направлении двигаться.
> на которую с 2-3 годами стажа берут
Там в требованиях такого понаписано, что меня одолевает безысходность.
Дык я говорю, наглей надо. нахера тебе стажёром идти, если можешь уже в сторону норм вакансий смотреть.
Год стажа и профильное - уже можешь средства шифрования распостранять.
А со стажировкой влезешь в унылую херь на пару лет.
Пришли примеры требований с которых одолевает, я тебе попробую их разъяснить, если желаешь.
>спец из меня как из говна пуля
если ты не инвалид и в ведомости зарплатной расписаться можешь - то годен.
30К платят за то что ты в штате числишься - и всё. приходить надо пару раз в месяц. поищи, такие вакансии проскакивают постоянно, человека нанимают на полгода-год, пока лицензирование идёт.
Хорошо, как в очередной раз пущусь в дебри вакансий на хедхантере - отпишу сюда.
> приходить надо пару раз в месяц. поищи, такие вакансии проскакивают постоянно, человека нанимают на полгода-год, пока лицензирование идёт.
Вообще впервые слышу о таком. Это для понта, что у нас, мол, сотруднички с красивыми бумажками работают?
>Это для понта
нет, это необходимость. многие конторы обязывают лицензировать криптографию. для получения лицензии, в том числе, необходимо наличие сотрудников обладающих определённой квалификацией. а они не всегда есть.
в больших городах часто нанимают человека для галочки, только чтоб лицензию получить. Некоторые ИБ-интеграторы предлагают таких людей вместе с комплексом услуг по помощи в лицензировании.
Хочешь знать больше: ФЗ о лицензировании отдельных видов деятельности и 313(емнип) приказ фсб. Почитай и самооценка твоя поднимется.
Вот например некий Протос консалтинг МСК чо пишут
>Предоставление сотрудников (за 2-х специалистов) – 150 000 при условии трудоустройства этих людей на 6 месяцев в штат организации и начисления заработной платы, в размере 30 000 рублей ежемесячно без учета налогов.
>Предоставление сотрудников (за 2-х специалистов) – 150 000 при условии трудоустройства этих людей на 6 месяцев в штат организации и начисления заработной платы, в размере 30 000 рублей ежемесячно без учета налогов.
Чет аж взгрустнул с этого поста
Мимо ОиТЗИ ОП-батрачник в 17к
>313(емнип) приказ фсб
мож это ПП?
А по приказам, 66 фсб, 152 фапси
мож это ПП?
А по приказам, 66 фсб, 152 фапси
Почему взгрустнул?
Ну да пп, точняк. Я в них не шарю, благо они на меня не распространяются.
>Пэмин, снимать наводки с окон и с сетевого кабеля, с монитора и стен
с дивана
>навестись на кафешку за окном и работать
Можно, вопрос- когда и зачем. Для сидения на двачах и в вк- слишком круто, для какой-то хуйни- недостаточно, и в любом случае потребуется vpn.
Посоны, куда пропали-то? Ибашите? Или уже ебашить начали?
Лично я пока ибашу, как весь год не ибашил.
Из ИБ радостей: познакомился в УЦ с тянкой-ибшницей. Подождал пока она ЭЦП получит, поболтали, подвёз до работы.
Лично я пока ибашу, как весь год не ибашил.
Из ИБ радостей: познакомился в УЦ с тянкой-ибшницей. Подождал пока она ЭЦП получит, поболтали, подвёз до работы.
>>Подождал пока она ЭЦП получит
Предохраняетесь?
Ну что, ибуны, получил свеженький комплект доков из аутсорс компашки по фз153 и околоконфиденциальности, чую следующий год будет жарким, придётся оч много народа переебать грубо говоря, сзпдн практищески с 0, расписать все говно, а потом контролить все, мне, как нюфане с 3 месяцами работы только с эп, одновременно доставляет и в тоже время пугает, пожелайте ПРЕВОЗМОГАНИЯ мне
ОиТЗИ ОП
ОиТЗИ ОП
> ОиТЗИ ОП
Какой ВУЗик окончил?
не топ и не мск
Есть ли безопасники-самоучки?
Да.
Большая часть из крутых ИБ-ДЕЯТЕЛЕЙ известных мне в той или иной степени - самоучки.
С керио контроль работал кто? Стоит ставить? Сколь секьюрно?
хочешь секьюрно - ставь нормальный SWG и не парь мозг:)
Коллеги, с наступающим!
Всем в следующем году: больших бюджетов, ровных аудитов, бонусов от контрагентов, расширения штатов СИБ и прочая, прочая!
Всем в следующем году: больших бюджетов, ровных аудитов, бонусов от контрагентов, расширения штатов СИБ и прочая, прочая!
Безопасник-куны, подскажите где-какие жучки искать, если потенциально нехороший человек побывал у вас дома?
Пробыл без присмотра минут 10 досадное упущение. Когда именно зайдут - наверняка не знал.
В комнате комп, ноутбук, роутер, телефон, настольная лампа, диван, столы, шкаф.
Что проверять в первую очередь?
Пробыл без присмотра минут 10 досадное упущение. Когда именно зайдут - наверняка не знал.
В комнате комп, ноутбук, роутер, телефон, настольная лампа, диван, столы, шкаф.
Что проверять в первую очередь?
>Что проверять в первую очередь?
Свою паранойю у психиатра
Не, ну это обязательно, но потом.
Есть реальные основания считать, что человек имеет и мотив и возможность.
Оцени стоимость информации, которую человек рассчитывает получить, стоимость мероприятий-техники, на которую он готов потратиться, его связи, уровень техподготовки, размеры помещения, назначение.
До нескольких сот тысяч долларов, стоимость мероприятий - без понятия, связи - конкурирующая крупная фирма с бывшим эшником в качестве главы СБ, уровень - примерно радиотехник-любитель, помещение 20м2, офис.
Заодно обрисую ситуацию. Бывший сотрудник перебежавший к конкурентам доступа к самому интересному во время работы не имел ни с того ни с сего приходит после нового года пьяный или как будто пьяный, непонятно с какой целью.
Персонал его оставил одного, т.к. знали в лицо, информации о конфликте не имели.
Когда я вошел, он уже был минут 10 в помещении и нашел я его на полу возле стола с рабочим местом. Якобы пьян и отодхнуть прилег, мне степень опьянения показалась сильно наигранной.
Больше допускаю попытку поставить кейлоггеры например на машины, но с этим сами разберемся.
Пытаюсь понять что из железа и куда он мог воткнуть.
>потенциально нехороший человек побывал у вас дома
>В комнате комп, ноутбук, роутер, телефон, настольная лампа, диван, столы, шкаф.
>помещение 20м2, офис.
Определись и объясни, что за хуйню ты несешь.
Классифицируй информацию, на которую были направлены разведмероприятия: аудио, видео, документы, электронный документооборот и личная переписка, и т.д.
Еще раз конкретно назначение помещения, с деталями. Если офис- что там происходит, кто сидит, чем заняты и о чем общаются, находится ли там руководство, ведутся ли там переговоры.
Человек, что там побывал- сотрудник или агент конкурента, нейтрал, либо предположительно нелояльный сотрудник вашей организации? Ему там была назначена встреча или что, сам заполз? Знал ли он о возможности нахождения в помещении заранее, сколь заранее?
Уже успел частично ответить, ок. По пунктам, которые не охватил- дополни.
>приходит после нового года пьяный
Подсвети режим работы организации.
>поставить кейлоггеры
Есть определенная вероятность установки радиомикрофонов, кейлоггеров и различных веселых железок, троянящих комп.
Поинтересуйся, не притащил ли он с собой сумку или пакет с выпивкой/подарочками. Т.к. он у вас работал и инфраструктуру знает- он вполне себе мог прихватить аналоги ваших мышек-usb хабов-прочего обвеса и оперативно заменить на свои. В случае с радиомикрофонами возможна замена элементом систем питания, короче, ищи нечто с пикрелейтед. Проверьте, не появилось ли ничего нового. Проверьте системники изнутри- возможно, что подоткнул закладку в материнку. Т.к. во времени и ресурсах был ограничен- вероятность вскрытия и монтажа в электронику на месте маловероятна.
Самое противное, что мог сделать- заменить провода, тут гемор.
В офис поставь куполки, можно даже игрушки на 420 линий- дешево, а от всякой херни спасает.
Системники опечатайте, электронику прогоните по инвентаризации, пронумеруйте, в будущем сверяйтесь с описью. В идеале- подключение usb/аудио/видео к портам внутри опечатанного системника, все порты снаружи отключить/залить.
Сисадмина потормоши, пусть внимательнее смотрит логи в ближайший месяц. Что у вас там с компьютерной безопасностью вообще?
Будут дополнения по списку выше- смогу сказать больше. Если нужна подробная длительная консультация- либо пересечемся в дсах, либо скайп.
Добрый вечер, коллеги.
Прочитал тред полностью и что-то взгрустнулось мне. По образованию ИБшник, мухосранск-миллионник, по специальности работал года полтора в около-НИИ, ушел из-за малой зарплаты. Перекатился в админы, самые обыкновенные, попутно для души стал делать сайты. Зарплатка для мухосранска вполне приличная, плюс леваки и халтурки. Однако, хочется чего-нибудь интересного (ИБ очень интересует), нежели ремесло подобное. Увы, у нас максимум можно устроиться макакой - настраивать ЭЦП, Випнеты и прочую поеботу. Такого мне нахуй не надо. Что делать - хуй знает. Наверное, буду дальше бегать админом да левачить сайтами. Сюда пришел просто поныть. В ДС сваливать не вариант, здесь своя квартирка и тянка под боком.
Прочитал тред полностью и что-то взгрустнулось мне. По образованию ИБшник, мухосранск-миллионник, по специальности работал года полтора в около-НИИ, ушел из-за малой зарплаты. Перекатился в админы, самые обыкновенные, попутно для души стал делать сайты. Зарплатка для мухосранска вполне приличная, плюс леваки и халтурки. Однако, хочется чего-нибудь интересного (ИБ очень интересует), нежели ремесло подобное. Увы, у нас максимум можно устроиться макакой - настраивать ЭЦП, Випнеты и прочую поеботу. Такого мне нахуй не надо. Что делать - хуй знает. Наверное, буду дальше бегать админом да левачить сайтами. Сюда пришел просто поныть. В ДС сваливать не вариант, здесь своя квартирка и тянка под боком.
Большое спасибо за развернутый ответ.
Обычная в общем-то программерская контора. С компьютерной безопасностью все отлично - отсутствует.
Никто не ожидал такого развития событий, да еще и в нашем мухосранске.
Я в конторе senior dev, просто весь этот цирк в моем кабинете происходил. Кроме меня еще архитектор проекта. Директор иногда забегает на поболтать.
Режим работы - обычный офисный центр с теткой вахтершей, чуваков с книжками отсекать.
Ключи от кабинетов у старшего команды как правило. От моего - у меня, архитектора и директора.
С кабинета постороннего выставят конечно, но в коридоры может попасть в принципе кто угодно.
В целом режим - заходи кто хочешь, бери что хочешь.
>>аудио, видео, документы, электронный документооборот и личная переписка
По идее в первую очередь база данных клиентов и документация-код проекта.
>>он у вас работал и инфраструктуру знает- он вполне себе мог прихватить аналоги ваших мышек-usb хабов-прочего обвеса и оперативно заменить на свои
Проверили, вроде все свое, старое.
В материнках новых USB\SATA\PCI устройств нет.
Хабов у нас нет, мышки две разных редких моделей, новых БП не появилось.
Вопрос еще остался, напротив монитора куда-то могут камеру воткнуть, в подвесной потолок например или вентиляцию?
Или так не делают, кроме шпионских фильмов?
>напротив монитора куда-то могут камеру воткнуть, в подвесной потолок например или вентиляцию?
Камеру имеет смысл воткнуть, если нужно именно что-то заснять, либо к it инфраструктуре ну совсем никак не подобраться, в вашем случае неактуально. С камерой много возни- маскировка, питание, съем данных, а качество пинхола обычно оставляет желать лучшего. Локализовать камеру можно изделиями по типу Оптик-2 и схожими, дешево и эффективно.
http://www.nelk.ru/node/3351
Значит, если ничего нового точно не нашлось, то:
-проверьте кабеля, конкретно проверьте. Закладки могут быть где угодно, вплоть до ферритовых колец в vga, откуда изображение вашего монитора утекает в эфир.
-есть вероятность, что он затроянил вам операционки и биосы. Биосы перешивать, операционки сносить.
-учитывая, что сб конкурирующей фирмы имеет доступ к административному ресурсу и может юзать относительно годные стснпи(втч. закладки с накоплением) , прибегать с самостоятельному поиску радиомикрофонов считаю бессмысленным. Чистку заказать дешевле и надежнее. Либо не заказывать, т.к., как я понял, разговоры ваши многого не стоят.
-хоть какой-то режим организовать. видеокамеру в офис- обязательно, сигналку простую на ночь- тоже, скуд с картами на вход- желательно, объединить его с системой защиты от нсд к it системам- тоже неплохо.
Навскидку- все, если нужны подробные комменты- пиши.
анон, ты охуенен. я все уши сестре прожужжал чтобы поступала на ЗИ, а эта ебнутая пошла на нанотехнологии.
мимо-закончил-телекоммуникации
>а эта ебнутая пошла на нанотехнологии
Тоже ок.
Что по телекоммуникациям умеешь?
Снимаю шляпу перед профессионалом.
И моя глубокая благодарность.
бумп
На сколько перспективно заниматься системами безопасности?
Достаточно перспективно.
Товарищ Безопасник, посоветуй анону, на правах ликбеза, годной литературы по контрразведке, конкурентной разведке, анализу информации, прикладной психологии и т.п.
вообще что мусор, а что вещь
вообще что мусор, а что вещь
Аноны, был на собеседовании на одном предприятии, работающим в сфере оборонки, короче говоря, ЗП в районе 30к после испытательного срока. Работа в отделе поставок, заниматься там контролем заявок и их исполнения, контроль доставок оборудования, оформление всей сопутствующей документации и т.п. На бумаге буду видеть некоторые из той аппаратуры, с которой в армейке работал (я тот анон, что выше отписывался ). На хед-хантере как-то глухо.
Да и нынешняя обстановка - везде сокращенФия, короче, устроиться сложно. На предприятии этом мной остались весьма довольны да и конкурентов на такую ЗП у меня нет Пока взял время подумать, поискать другие варианты, но как-то тишь. Идти, анон, или это дно? ДС.
Да и нынешняя обстановка - везде сокращенФия, короче, устроиться сложно. На предприятии этом мной остались весьма довольны да и конкурентов на такую ЗП у меня нет Пока взял время подумать, поискать другие варианты, но как-то тишь. Идти, анон, или это дно? ДС.
Парни, вы тут толковые все, поясните мне, пожалуйста, за
1) linux security hardening может гайд какой есть, как свежеустановленную убунту засекурить.
2) подскажите быстрые рашкинские впн-конторы.
1) linux security hardening может гайд какой есть, как свежеустановленную убунту засекурить.
2) подскажите быстрые рашкинские впн-конторы.
Аноны, есть ли смысл идти в ИТ безопасность, если знаний после универа вообще практически не осталось, может ли быть такой вариант, что на месте "научат"? КСЗИ вообще не помню нихуя, программирование не знаю, да вообще техническую часть толком не знаю нихуя. Немного помню законодательство, ведение документации и пр организационные вопросы. Унылая работа/мелкая зарплата тащемта не пугает.
мимо выпускник прошлого года по защите информации, всё ещё без постоянной работы
мимо выпускник прошлого года по защите информации, всё ещё без постоянной работы
Не, ну хоть что-то надо, конечно, знать, иначе нахуй ты нужен.
Например, погромирование. Железо-то, кстати, гораздо сложнее, но инженерам почему-то платят вообще нихуя по сравнению с погромистами, хотя чтобы задрочить какой-то яп до топ-уровня надо год задрачивать его, а чтобы с нихуя платы собирать - это надо много лет пахать и знать ебаную тонну теории. Плюс ответственность гораздо выше.
И в то же время видим вакансии:
- PHP Junior Developer, 40к
- Инженер на завод КосмоАэроЙобаСтрой, опыт от 5 лет, проектирование авионики, высшее образование не ниже аспиранта, зп 25к
мимо диван
внезапно у тебя неплохо диван
мимо-перекатился-из-2-в-1
>убунту
нет
>рашкинские впн
нет
>Инженер на завод КосмоАэроЙобаСтрой
>зп 25к
ты забываешь премию от слива секретки
>слива секретки
Какой ты интересный. Анус тебе сольют.
Алсо, про какую секретку ты говоришь?
Если ты там ракеты собираешь - то канеш толпа желающих выкупить найдется, но и контроль просто йоба.
А что сливать на остальных заводах, особенно производящих всякое никчемное говно?
Я тебя умоляю. Кого волнуют технологии минимум 30 летней давности?
Почему сразу ракеты. Может ты собираешь интересные такие магнетроны для [devicename], или еще чего. Хули напряглись?
Я молю тебя. Так скамп в кальдере говорил.
>>1) linux security hardening может гайд какой есть, как свежеустановленную убунту засекурить.
https://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
Иди и не греши.
Котаны, у кого нибудь хватит совести список литературы накидать наконец страждущим?
Какой тебе литературы? У мну есть подборка по сетям, линухам и сесурити, все на ангельском, сгодитсо?
Для обычного хуя уровня эникей это гроб кладбище?
У знакомой откроют отдел безопасности. ЗП естественно больше в 1.66 чем у нынешней дезигнером. Думаете не стоит лезть? Боюсь быть прогнанным, обосаным с позором. Cтоит ожидать добрых бородатых дядек которые будут помогать в начинании?
У знакомой откроют отдел безопасности. ЗП естественно больше в 1.66 чем у нынешней дезигнером. Думаете не стоит лезть? Боюсь быть прогнанным, обосаным с позором. Cтоит ожидать добрых бородатых дядек которые будут помогать в начинании?
Если под руководством умеющих и с мотивацией хуячить- то лезь.
Раз тред еще не утонул спрошу у анона совета или книжек по сертификации оборудования на работу в ИСПДн.
Есть система , состоящая из девайсов (аппаратных), которые преобразуют траффик с радиостанций, телефонной сети и сети оповещения(типа как в метро) в IP.
Есть в этой системем конплуктеры с ПО, которое позволяет совершать IP звонки.
Вся эта ёбань соединяется между собой через ВПН, если не находится на одном объекте.
Задача: сделать эту систему такой, чтоб на нее дали сертификат, что можн работать с ПерДанными (вплоть до самого высокого класса).
Какие гайды, статьи и книги можно почитать про это дело, чтобы понять: какие документы и в каком виде надо подготовить, чтобы получить сертификат для работы с ПД в этой системе?
Есть ли кулстори, как анон сертифицировал подобную хуергу и потом успешно впаривал ее страждующим?
Есть система , состоящая из девайсов (аппаратных), которые преобразуют траффик с радиостанций, телефонной сети и сети оповещения(типа как в метро) в IP.
Есть в этой системем конплуктеры с ПО, которое позволяет совершать IP звонки.
Вся эта ёбань соединяется между собой через ВПН, если не находится на одном объекте.
Задача: сделать эту систему такой, чтоб на нее дали сертификат, что можн работать с ПерДанными (вплоть до самого высокого класса).
Какие гайды, статьи и книги можно почитать про это дело, чтобы понять: какие документы и в каком виде надо подготовить, чтобы получить сертификат для работы с ПД в этой системе?
Есть ли кулстори, как анон сертифицировал подобную хуергу и потом успешно впаривал ее страждующим?
1. рисуй карту системы. отметь на карте системы, где именно будут ходить пд, а где нет.
2. попытайся классифицировать класс пд. по высшему уровню начинаются пэмины и т.д., охуеешь же.
если пд ходят между компами- ок, в роли vpn лицензированные апшк, фаерволы на входе и по рубежам dmz, сзи нсд на компах и серверах. плюс кипа бумаг.
если пд ходят по физическому уровню
>радиостанций, телефонной сети и сети оповещения
то сука пиздец, зачем? придется накидать филкома какого-то, яхз
Я по любой годной литературы по теме список предлагаю создать, типа FAQ по направлениям.
Выше спрашивали да и самому интересно.
Типа такого:
Сети
ОС
Документооборот, режим, регламент
Информационная работа и анализ Конкурентная разведка, служба безопасности предприятия, и что там еще
Аудит
Защита информации техническими средствами и специальная техника
Pentesting
Я ничего не забыл кстати?
Аноны объясните почти вылупившемуся специалисту по КОИБА, что меня ждет. Или сразу лучше валить в сисопы?
НЕ КАЧАЙТЕ! ТАМ ВИРУС! ПИШУ С ФЛОМАСТЕРА!
Сигнатуру в студию
Спасибо тебе, добрый безопасник-кун.
Если я библиографический список по архиву для неофитов сделаю и в тред выложу - не против?
Господа аноны, облагородим тред вместе!
По анализу информации-экономической разведке-сб предприятия для полноты картины было бы еще хорошо доков.
да я только за. засейвь архив главное, а то вдруг кент мой его грохнет.
Вообщем решил на своей работе потихоньку накатывать мосты в сторону безопасности, помогаю им с поиском нарушений и т.п. А то нахуй мне этот диплом
Классический вопрос в треде "а секреты будут"?
Ведь это доплата(хоть маленькая) и хорошее портфолио(пускай не всегда публичное).
В принципе лучше так, чем на жопе без денег сидеть, моё мнение - иди, анон. Главное уметь с военными работать и искать решения, впрочем, в армии служил-же.
Анончики, я тут книжную полку перебирал, и понял, что первой моей книгой по ИБ был почтенный в пятом классе "Момент истины".
Мы конечно рады за тебя, но лучше бы список подкинул чем над мемуарами воспоминаниям предавться
Да я уже там. Из пяти дней работа фактически была только в понедельник. Ахуеть.
А с военными работать после армейки как два пальца. Да и так - никакой особой специфики пока ни вижу.
Коллектив, кстати, заебатый.
Аттестаторы-надежда и "последний рубеж обороны" (с) - отзовитесь?
Эх, мне бы ща аттестаторы ой как помогли
АС+ЗП под лицензию?
Не. Узел связи в эксплуатацию сдать треба.
Гостайна?
Ничего такого и близко нету. Вообще под упрощенку попадает, даже РКНовец в комиссии нинужен
Учусь на комплексной безопасности. Какие скилы качать?
Орал и ануслинг.
Сколько учишься? Если сам не знаешь чего качать- то тебе верный совет выше дали. От себя предложу сети, лишним никогда не будет.
А чой по аттестации ннада?
Анон, что можешь про
Психология оперативно-розыскной деятельности Чуфаровского сказать?
Стоит читать?
Психология оперативно-розыскной деятельности Чуфаровского сказать?
Стоит читать?
Почитаем, почему нет?
Раздел оперативной психологии представлен достаточно ограниченным количеством открытых источников, в связи с чем любая корректная информация должна быть проанализирована. Предположительно, причиной является засекреченность сферы. Видел слитые методички кгб прошлого века, там интересно.
Да, спасибо.
А где методички видел, антош? Может они у тебя сохранились\знаешь где слить?
мимокрок-психолог
Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте что тут писалось. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.
Тебя что конкретно интересует? Психолог какой направленности?
Методичек не будет. Анализируй знания конкурентной разведки и профилирования, синтезируй из них новые навыки. Как комбинированные спеллы в обливионе, 2 заклинания, затрачивающие по N маны каждое, в комбинированном варианте дают результат на 4N маны.
Вторым заклинанием можно Экмана
Такие «слепые зоны» (blind spots) могут носить т.н. «философский» характер, обусловленный неправильным пониманием роли, задач, функций КР, ее приниженным местом в структуре компании. С другой стороны, у профессионалов КР может отсутствовать верное восприятие стратегических задач, стоящих перед компанией, и ключевых рыночных факторов, играющих решающую роль в достижении этих целей. Другой недостаток – концентрация внимания на отдельных конкурентах вместо того, чтобы отслеживать и анализировать рыночный ландшафт в комплексе. Самая же большая проблема для профессионалов КР лежит в области психологии: высокомерие, самоуверенность в собственных знаниях, в понимании конкурентной среды. Мол, «я настолько хорошо изучил конкурентов, что прекрасно знаю, что они будут делать сегодня и завтра». Если реальные факты и тенденции подтверждают предположения, самоуверенность возрастает, а если нет, то подсознательно реалии подвергаются сомнению, не принимаются во внимание.
Не им единым.
1. Аронсон Э., Уилсон Т., Эйкерт Р. Социальная психология. Психологические за-коны поведения человека в социуме. – СПБ.: Прайм-Еврознак, 2002.
2. Блум Ф., Лейзерсон А., Хофстедтер Л. Мозг, разум и поведение. - М., 1988.
3. Бодалев А.А. Восприятие и понимание человека человеком.- М., 1982.
4. Волынский-Басманов Ю.М., Эриашвили Н.Д. Профайлинг. Технологии предот-вращения противоправных действий. Москва: ЮНИТИ-ДАНА, 2010.
5. Гиппентерйтер Ю.Б. Введение в общую психологию. М., 2002.
6. Голберг И.И. Психология почерка. – Екатеринбург: У-Фактория; М.: АСТ МОСКВА, 2008. -254 с.
7. Тарчинский Д. Как понять человека по внешнему виду. М.: Высшая школа пси-хологии, 2006.
8. Еникеев М.И. Общая, социальная, юридическая психология. Учебное пособие для ВУЗов.- М., 2002.
9. Естественнонаучные основы психологии /Под ред. А.А. Смирнова, А.Р. Лурия, В.Д. Небылицына – М., 1978.
10. Захаров В.П., Сидоренко Г.В. Методы практической психологии общения: Учеб-ное пособие. 1980 г.
11. Кириллов В.И., Старченко А.А. Логика- М., 1995.
12. . Ковров А.В. Предатели: «пятая колонна» в организации. М., 1999.
13. Колосов В.А., Михайлик Н.Ф. Методика профессиональной подготовки. Авиаци-онная психология. 1988 г.
14. Краткий психологический словарь/ сост. Л.А. Карпенко; под общ. ред. А.А. Пет-ровского, М.Г. Ярошевского - М., 1985.
15. Куницына В.Н., Казаринова Н.В., Погольшина В.М. Межличностное общение: Учебник для вузов. СПб, 2003.
16. Леонгард К. Акцентуированные личности. Ростов-на Дону, 2000.
17. Лурия А.Р. Диагностика следов аффекта// Психология эмоций. Тексты / Под ред. В.К. Вилюнаса и Ю.Б. Гиппенрейтер. - М.: Изд-во Моск. ун-та, 1984.
18. Лурия А.Р. Психология в определении следов преступления // Научное слово. - 1928.
19. Марютина Т.М., Ермолаев О.Ю. Введение в псхофизиологию - М., 2002.
20. Обухов А.Н., Обухова И.П.Теоретические и методические основы применения полиграфных устройств: Учебное пособие. Изд. 2-е. -Домодедово: ВИПК МВД России, 2011.
21. Пол Экман. Психология лжи. Обмани меня, если сможешь. СПБ.: Питер, 2007
22. Психология. Учебник для гуманитарных вузов / Под общ. ред. В.Н. Дружинина.- СПб.: Питер. 2001.
23. Симонов П.В. Высшая нервная деятельность человека: Мотивационно-эмоциональные аспекты - М., 1975.
24. Филонов Л.Б. Психологические способы выявления скрываемого обстоятельства - М., 1979.
25. Фрай О. Детекция лжи и обмана. - СПб., 2005.
26. Хэссет Дж. Введение в психофизиологию - М., 1981.
27. Экман П. Психология лжи. - СПб., 2003.
8
28. Экман П. Психология лжи. Обмани меня, если сможешь. - СПб.: Питер, 2010.
29. Экман П. Фризен У. Узнай лжеца по выражению лица. - СПб.: Питер, 2010.
Спасибо, почитаемс.
Есть тут быдлокодеры кто перекатился в ИБ? Сам знаю прилично языков от си и джс до хуяскеля с лиспом, линукс, сети, занимаюсь уэбом. Угарел по Hacking the Art of Exploitation и подумал а может нафиг этот быдлокодинг? Какие перспективы если готов посвящать 20 часов в неделю интересному делу?
Я пишу диплом и думаю, зачем я поступил сюда. Специальность КОИБАС.
Вуз в Хабаровске, никаких перспектив, если честно. Впрочем, сам виноват.
Вуз в Хабаровске, никаких перспектив, если честно. Впрочем, сам виноват.
Также очевидный KUBARK очевиден.
ИРКУТСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ
Учебная программа
http://www.irgups.ru/web-edu/~trtsm/progpodgprofail.pdf
повышения квалификации
работников транспорта, осуществляющих визуальную диагностику
психоэмоционального состояния пассажиров (профайлеров)
секретный агент-проводник
туда же
Human Resource Exploitation Training Manual
Очень интересно, да. Добавил в закладки.
А где можно почитать про методики ведения допросов более подробно? И где можно попрактиковаться?
Из открытых источников
Тактика и психологические основы допроса.Кертис
Типовые программы допроса.Печерский
Если еще что-то вспомню, напишу.
>>И где можно попрактиковаться?
Нет преграды патриотам! к/ф ДМБ
ну ты понял
внезапно практиковаться можно в рамках юридической\адвокатской практики
можешь еще устроиться кадровиком и издеваться над соискателями. заодно фирме сделаешь имидж - что даже в кадрах злая гебня лол
А что именно ты кодить хочешь?
Не сколько кодить, сколько ломать и улучшать защищенность бэкендов.
Няш тебе за наводки.
Не могу найти в открытых источниках методы, ээ, жесткого допроса. Копать в направлении инквизиции, лол?
Посоны, вопрос не в тему:
Доводилось кому за подарку отвечать?
Много головняка бумажного?
Доводилось кому за подарку отвечать?
Много головняка бумажного?
Пожарку, фикс.
а нахрена оно тебе, начинающий садист?
профессионально развиваюсь, ачивки собираю, и т.д.
Очень хуёвая стратегия.
Какая верная?
Капчевать на двачах, верно дело. А так в структурах таких, ИМХО учиться особо нечему. Уныние и дрочилово одно.
Эт верна. Местами бывает "красная СБ" - но для зачисления к ним срочки хватает.
И это хотя бы в 70% случаев - отличная карьера?
Дык это от тебя зависит.
Тов. Майор, подсказали бы гражданским коллегам что-то толковое
а то начитаются цру своих и будут секретуток до энуреза запугивать зря
Что думаете про ПД с сентября? Поменяются-ли по факту расклады? Начнут-ли ркны всех проверками ебошить получив право адм производства?
Ркн идет по пизде в связи с урезанием з/п у оперативного состава
Полундра, тред тонет!
Тред! не тони!
Как там на фронте с 27001. Кто-нибудь уже практикует версию 2013 года или никому это нахрен не уперлось и вообще документ настолько общий, что недостоин вложений в него средств на сертификацию?
Как там на фронте с 27001. Кто-нибудь уже практикует версию 2013 года или никому это нахрен не уперлось и вообще документ настолько общий, что недостоин вложений в него средств на сертификацию?
Кто бы бюджетов дал на такое
Кто-нибудь сервис на pci dss аттестовывал? Много головняков?
Как ПРЕВОЗМОГАТЬ и наИБать всех? Ведь по сути надо знать дохуя, без стимуляторов тут никак
Собсна, назовите критерии успеха топ ИБшника
Собсна, назовите критерии успеха топ ИБшника
Знать так уж чтобы много нинужно.
Скилы:
Короткий язык
Умение слушать
Внимательность к деталям
Врубать в логику законов
Любовь к писанию бумажек
Лицемерие
Память
Умение просчитать несколько сценариев
Готовность идти на компромисс
Любить потреблять информацию
ТН аналитическое мышление
Умение спиздеть/умолчать во благо
И тп
Как наИБать всех:
Грамотно написанные политики - половина успеха.
Политики согласуются легко, а потом люди на фирме в ахуе, когда понимают, что приняли бумаги по которым почти каждый нарушитем становится
Стимуляторы нинужны - гасят глубину мышления.
>>Стимуляторы нинужны - гасят глубину мышления.
На крайний случай можно приберечь
Адаптол
Ладастен
Фенотропил
Элеутерококк
но просто так без необходимости не жри это все, тем более вместе
Штирлиц склонился над картой. Его сильно рвало на Родину
>>Готовность идти на компромисс
ПРОСЯТ ПОСТАВИТЬ СКАЙП
@
ШЛЕШ НАХУЙ И ССЫЛАЕШЬСЯ НА ПОЛИТИКУ
@
ХУЛЕ ТЫ К ДИРЕКТОРУ ПОШЕЛ СКАЙП ВЫПРАШИВАТЬ
@
ГОВНО ГОВНО ДЫРЫ ДЫРЫ
это я к тому что ИБ службу должны немножко бояться и короче делай так, чтоб таких историй не было впринципе. корпоративная культура должна быть.
У кого есть текст ISO27001? Подтвердите, что для закрытия контролов по физ. безопасности не обязательно иметь живую охрану у входа. Т.е. что контрол можно закрыть и другими способами.
Аноны бывшему срочнику шифровальщику с гуманитарной вышкой из столицы черноземья у вас советов спрашивать как я понял не имеет смысла? Или все таки какие нибудь варианты есть?
Запятые, человек, запятые! 4 раза прочитал, чтобы понять твой вопрос, гуманитарий, блин.
Вопросы разные бывают.
Получается, что так, исходя из А.9.1.1 (про периметр) говорится про барьеры, стены, скуд по карточкам или(!) где предусмотрен контроль сотрудника регистрационной стойки.
Но по-факту, периметр совмещают с людьми и техникой.
Если ты про пункт А.9.1.2 или "Контроль доступа в охр. зону", то там вообще про средства написано.
Мимостудент
Каюсь в пунктуации не силен. Ну у меня их собственно два.
1. На гражданке в Воронеже то что я был шифровальщиком в штабе округа поможет мне устроится где нибудь по вашей теме которую вы 500 постов тут обсуждаете?
2 И если да в какие организации? Как их искать?
А на контракт тебя не звали?
Есть в.о. по Иб. Знания в ит и Иб. Хочу работать пентестером. В идеале открыть свою фирму пентеста но в курсе как мозгоебно получать ФСБ и фстэк сертификаты. Поискал в гугле фирмы по пентесту в городе нихуя нет. Поискал по аудиту Иб и нашёл несколько. Они тем же занимаются или нет? Хочется технической иб а не бумажной. Кем пойти по Иб?
Звали почему же. Но далеко слишко и там служить воооообще не айс. Даже контрактнику. На мой вопрос как я понял ответа нет?
Ну военка и гражданское ИБ - различные темы. Попробуй в какую-нибудь СБ "красную" податься.
И если получиться без компрометации, что умеет шифровальщик?
И ещё. В врн есть МВД вузик, где неплохо учат тех защите информации, не пробовал с ними снестись?
Обьясни что такое красная сб и где ее случае чего искать. На оборудовании шифровальном работать умею.
Красная - которая "погонами" бывшими комплектуется. Ищи фгупы всякие, где есть ЗГТ, туда тебя могут принять.
Ну ты походу макака-шифровальщик, сидел за ЗАС и строго руководствовался мануалами, что где как сменить-установить-клацнуть и так далее. Практическая ценность опыта сомнительна, непрофильная вышка плюсов не дает. Была бы профильная- можно было бы пойти по линии апшк, ключики, вот это вот.
Поясните за зп в этих ваших дээсах. Мимокраснодар.
Посоны, я случайно по пьяни зашел не в тот бар, так что не бейте... но чем обычный "быдлоадмин", ковыряющийся в маршрутизаторах, серваках и кидающий Езернет отличается от среднестатистического "безопасника" из вашего треда?
Градусом паранои
Борисов?
Каким, простите, градусом?
мимограммарбезопасник
А не пох? Я признаться, только при написании официальной документации спеллчек подключаю, бо много проца кушает.
безопасникневежда
Также стоит обратить внимание и на пунктуацию.
Отключаю эту хуйну везде, где только можно. Предпочитаю перечитывать написанное, а краснота не по делу сильно раздражает. Таки да, паранойя - одна из составляющих профессии.
Я не про компьютерный спеллчек. Имел в виду, что внапряг ошибки искать, а пишу неграмотно, да. Всегда пара по русишу была, лол.
>Градусом паранои
>Каким, простите, градусом?
>А не пох?
У вас тут какая-то своя атмосфера.
Дропнул академию фсо, учился на безопасника. Нахуй надо.
После школы поступал? Пили кулстори.
>Нахуй надо
Охуеть теперь. Че хотел когда поступал?
Непонимаю, такая охуительная возможность и "нахуй" надо.
Все с тобой понятно, неосилятор. Хотел в хакиров играть, а заставили матан учить.
Артем?
Да.
bump
Bump
аноны, такой вот вопрос: приятель зовет в отдел информационной безопасности, формирующийся в прокуратуре. сам я не айтишник, но обещали научить всему, что потребуется.
насколько перспективно нахождение в данном отделе и можно ли потом перекатиться в какие-то смежные отрасти (в коммерческие например) с полученным опытом?
насколько перспективно нахождение в данном отделе и можно ли потом перекатиться в какие-то смежные отрасти (в коммерческие например) с полученным опытом?
Образование у тебя какое? Яб пошёл.
юридическое.
Вот такие вот люди потом подключенные к Интернету сервера во время телерепортажей опечатывают с лицами ВЕРШИТЕЛЕЙ СУДЕБтм
ты ещё спрашиваешь, охуеть
это веселей, чем договора править, лол
кеек будете пилить перекат, сюда скинуть ссылку не забудьте
Хеккеры, подскажите, что можно сделать с сервером на котором открыт только 443 порт?
Тебе по приколу или есть цель?
можно заддосить, например
Цель понять какие потенциальные уязвимости, кроме дедоса, могут быть в такой ситуации.
А, пентест ради пентеста?
Ну удачи тебе, мне тоже будет интересно. Со своей стороны не помогу, я мыслю другими методами.
перекот?
Бро, погоди - тебе нафиг сертификация? Какие цели ты преследуешь - продавать это, или что?
Судя по громоздкости системы - тебе аттестация нужна, а то и вовсе аудит.
Какие задачи и кто поставил?
Пилим свои истории успеха поИБэ, рассказываем прохладные и смищные истории как начинали карьеру в мухосранской конторке, как проводили аудиты по ISO 27001 и СТО БР ИББС, реализовывали проекты и жрали в ресторанах.