Каждый из нас слышит этот вопрос, а что должен знать, какими навыками обладать ("знатьуметь") специалист по информационной безопасности.
Вообще, не совсем понимаю этого вопроса, есть специалист по ИБ, которую всю жизнь проводит специсследования и аттестации ЗП и АС, есть кто отлично готовит ОРД по 152 и даже РКН приходит в восхищение, есть кто решил протестировать все системы ДЛП и разработать свою (причем со своими же политиками и т.д.), а у кого-то обычный талант продавать это самую непонятную ИБ.
Например, когда мне скажут, что аттестовать помещение нельзя, потому что охранная сигнализация связывается с пультом мониторинга по GSM, я знать не знаю, где описано такое требование.
Проще говоря, самое главное, для меня в специалисте по ИБ это его образованность, широкий кругозор, интересы во всех других разных областях и желание получать опыт, много опыта и еще больше. Без всего этого, мне кажется, нечего делать в нашей области.
Хотя, наверное, это идеал для каждого специалиста:)
Вообще, не совсем понимаю этого вопроса, есть специалист по ИБ, которую всю жизнь проводит специсследования и аттестации ЗП и АС, есть кто отлично готовит ОРД по 152 и даже РКН приходит в восхищение, есть кто решил протестировать все системы ДЛП и разработать свою (причем со своими же политиками и т.д.), а у кого-то обычный талант продавать это самую непонятную ИБ.
Например, когда мне скажут, что аттестовать помещение нельзя, потому что охранная сигнализация связывается с пультом мониторинга по GSM, я знать не знаю, где описано такое требование.
Проще говоря, самое главное, для меня в специалисте по ИБ это его образованность, широкий кругозор, интересы во всех других разных областях и желание получать опыт, много опыта и еще больше. Без всего этого, мне кажется, нечего делать в нашей области.
Хотя, наверное, это идеал для каждого специалиста:)
В англоязычной литературе встречается сравнение Specialist vs. Generalist. Т.е. работник, специализирующийся на какой-то узкой области, и работник, пытающийся охватить всю сферу, но значительно менее глубоко.
ОтветитьУдалитьПервые - это отличные эксперты и гуру в отдельной технологии. Но за ее пределами часто беспомощны. Наиболее эффективны в больших предприятиях, копают какую-то одну тему.
Вторые - наиболее универсальные. Знают немного обо всем. Но важно следить, чтобы их область интереса сильно не разрасталась, т.к. это может привести к "пробежке по верхам". Например: спец по НСД, ТСО и пр. И обследование провести может, и эскизник накидать, и проектом порулить. И, самое главное, связать воедино всех экспертов. Но при этом теряется в деталях технологии (знает, что должна быть IDS, но не знает, какие именно правила настроить. И не дай Бог что-то будет делать руками).
Так вот, имхо идеальная ситуация - когда в конторе несколько универсалов и по каждому направлению есть гуру и падаваны при нем (группа или отдел).
Мне лично нравится схема generalist + несколько спецификаций. Например, область НСД + проектирование + руководство проектами.
P.S. Помимо специальных навыков обязательны Soft Skills: правильная речь, написание документации, работа в команде, коммуникации.
ОтветитьУдалитьЖелательно - публичные выступления, лидерство, умение вести переговоры и пр.
И много вы таких знаете универсалов, которые еще и переговоры ведут, по-русски говорят, да еще и в команде работают?
ОтветитьУдалитьПорядочно. Примерно столько же, сколько гуру.
УдалитьПонятно, что я тут описал некий предельный случай. На практике у кого-то что-то получается лучше, что-то хуже. Но вопрос-то стоит - что ДОЛЖЕН знать и уметь. А не какие люди вокруг
а сам, что можешь записать себе в актив под явными плюсами?
ОтветитьУдалить