Всех безопасников можно условно разделить на 3 типа. Первые – это так называемые хакеры-мазафакеры не так давно вставшие из-за парты и поучающие школьников в интернетах, как устанавливать Kali Linux, чтобы заполучить пароль от соседской вафли. Вторые – типичные сисадмины, прошедшие долгий путь с эникея и понимающие, как настраивать приложухи и сетку, но совершенно не шарящие в законах. Эт, собственно, прямо моя история, до недавнего времени.

Всех безопасников можно условно разделить на 3 типа. Первые – это так называемые хакеры-мазафакеры не так давно вставшие из-за парты и поучающие школьников в интернетах, как устанавливать Kali Linux, чтобы заполучить пароль от соседской вафли.

Вторые – типичные сисадмины, прошедшие долгий путь с эникея и понимающие, как настраивать приложухи и сетку, но совершенно не шарящие в законах. Эт, собственно, прямо моя история, до недавнего времени.

Ну и третий тип, можно условно назвать «Бумажными безопасниками». Речь идёт о специалистах, хорошо подкованных в законодательном плане, но совершенно бесполезных при работе в полях.

Такие персонажи если и могут что-то настроить, то делают это исключительно по инструкции, не отклоняясь и скрупулёзно следуя алгоритму. Однако именно подобные «бумажойды», как показывает практика и нужны предприятиям.

Благодаря этим людям организации проходит различные проверки со стороны ФСТЭКа и ФСБ. На их плечи руководители IT-служб возлагают обязанности по ежедневному заполнению различных журналов и контролю внутренних доков, регламентирующих права и обязанности пользюков.

Zip File, мамкины хаЦкеры. С вами Денчик и в сегодняшнем видео мы рассмотрим основные, я бы даже сказал краеугольные вещи необходимые для лучшего понимания специфических особенностей отечественного инфобеза.

Затронем тему нормативно-правовых актов, которые необходимо изучить на начальном этапе. Разберём ключевые понятия. Такие как конфиденциальность, доступность, целостность и прочие занудные термины.

Ну а в заключении проанализируем особенности стратегий, наглядно демонстрирующие уровень п**деца по части соблюдения безопасности не только в нашей любимой стране, но и в других, более так сказать прогрессивных странах мира сего.

В общем, если вам интересно узнать о том, на чём же сегодня базируется информационной безопасность с точки зрения квалифицированного специалиста, тогда устраивайтесь по удобней и приготовьтесь к так называемому душнилову с моей стороны. Погнали.

Интеграция

Но прежде, чем мы начнём, мне бы хотелось рассказать вам о новом 3-х месячном онлайн-курсе SQL Injection Master от моих друзей с легендарного форума Кодебай.

В рамках освоения курса вас ждёт более 70 практических заданий, ориентированных на начинающих специалистов по информационной безопасности.

Регулярная проверка качества выполнения домашних работ, поддержка со стороны наставника в лице одной из самых сильных команд по пентесту на территории СНГ.

И конечно же помощь со стороны других обучающихся. Всё это, позволит вам в кротчайшие сроки изучить основы внедрения произвольного SQL-кода в уязвимые приложения.

Освоить принципы поиска уязвимостей в базах данных и научиться работать с SQL на уровне дипломированного пентестера.

А самым усердным, даже вернут до 100% от стоимости курса. Для этого достаточно выйти в топ успеваемости и доказать, что вы достойны быть частью самой топовой Red Team в ру сегменте.

Более подробную информацию ищите по ссылке, представленной в описании. Курс стартует уже 3 января. Так что не жди у моря погоды, и переходи скорей, дабы не упустить такую крутую возможность.

Что представляет собой профессия специалиста по информационной безопасности?

Современные ютуб-блогеры, паразитирующие на тематике инфобеза и само-собой не являющиеся дипломированными или практикующими специалистами в данной области считают знание нормативно-правовой базы пустой тратой времени.

И это не удивительно. Ведь все эти международные стандарты, технические спецификации и прочие унылые темы не имеют ничего общего с привлекательным образом хаЦкера из сериалов, который на раз-два нагибает крупнейший международные конгломерат за несколько кликов мыши.

Но правда в том, что именно от умения читать и воспринимать техническую документацию и зависит ваш уровень компетенции в инфобезе. Эта та важнейшая часть работы, которую нельзя попросту проигнорить, если вы действительно намереваетесь трудоустроиться в этой нише.

И да, по началу вам это покажется сложным, нудным и будет казаться, что никакого прикладного значения в этом нет. Однако со временем, вы осознаете, как важно юридически обезопасить себя и свою организацию с законодательной стороны.

Именно поэтому, ступая на путь безопасника будьте готовы к тому, что в перспективе вам придётся разобраться не только с информационными технологиями и технической частью профессии.

Вы также должны иметь представление о традиционной безопасности в целом. Знать основы юриспруденции. Понимать кадровое дело. Ну и т.к. речь идёт о руководящей должности, то тут смело можно добавлять классический и риск-менеджмент, аудиторское дело, коммерцию и прочие смежные вещи.

Короче, забот полон рот. И это я ещё про экономическую безопасность запамятовал. К слову, раз уж речь зашла про различные виды, давайте разберёмся с самим понятием инфобеза.

Что такое информационная безопасность?

Термин информационной безопасности очевидно включает в себя такие составляющие как информация и безопасность. В целом, под информацией принято понимать любые сведения, независимо от формы их представления.

Т.е. не только те данные, что хранятся непосредственно на компьютере или в смартфоне. Это очень важный нюанс. Специалист по ИБ защищает не только ту информацию, которая хранится на компах предприятия. Его сфера всегда выходит за рамки локальной сети, хотелось бы вам этого или нет.

Окей. С этим разобрались. Далее введём такое важное понятие, как защита информации. Это меры, которые вы предпринимаете для обеспечения безопасности. В том числе, информационной.

И наконец, самое важное определение, которое вам следует выучить наизусть – это определение информационной безопасности. Под данным термином принято понимать состояние защищённости, при котором обеспечены конфиденциальность, доступность и целостность информации.

Основные термины информационной безопасности

Далее мы подробно рассмотрим каждый из компонентов, образовывающих эту нерушимую тройку КДЦ. Начнём с самого простого - конфиденциальности.

Говоря максимально простым языком, конфиденциальность – это состояние информации, при котором доступ к ней осуществляют только субъекты, непосредственно имеющие на него право.

В качестве примера могу привести вам несанкционированный доступ к камерам крупного офиса и близлежащей парковки адрес которого я получил, поковырявшись 10 минут в Shodan’e.

Если вы никогда не юзали сей инструмент – непременно попробуйте. Ссылка на ролик по данной теме всплывёт в углу, если я не забуду добавить её на посте.

Как видим, в данном случае, конфиденциальность нарушена и неизвестный субъект, т.е. я, смог получить доступ к информации права на которую не имею. Мамкин хаЦкер 1 – безопасник из поднебесной 0.

Следуйщий термин который мы разберём – доступность. Тут всё просто. Субъекты имеющие право доступа, должны реализовывать его беспрепятственно.

Помните, как в прошлом году падали сервисы Яндекса. Или как в этом году обо**лся Facebook? Всё это, наглядные примеры случаев нарушения доступности со стороны крупнейших интернет-сервисов.

Ну и третье свойство, целостность, можно охарактеризовать как состояние информации, при котором её изменение осуществляется исключительно преднамеренно и только субъектами, имеющими на это право.

Олды наверняка помнят, как в далёком 2016-ом в МСК можно было с помощью NFC ридера провернуть с картой «Тройка» небольшой фокус и пополнить её баланс, не внося реальные деньги.

Тема работала практически год и пока её просто не стали нагло форсить в сети, баг никто закрывать не спешил. В данном случае, мошенники практически нарушали целостность государственного имущества.

Основные регламентирующие документы ИБ в России

Вообще государство любой страны – является основным регулятором в вопросах того, что можно и что нельзя делать с информацией различного рода на её территориях.

В правовой системе России наиболее приоритетным регламентирующим инструментом является конституция. За ней следуют международные соглашения и договоры.

Далее идут федеральные законы и кодексы. Ну и внизу так называемой пирамиды уже располагаются акты. Президента, правительства и различные ведомственные истории.

Все эти вещи лучше всего мониторить через специализированные справочные системы. Всем известный Гарант или Консультант Плюс. Суть у них плюс-минус одна.

Статьи конституции и ФЗ касающиеся ИБ

Само-собой полностью изучать конституцию я вам не предлагаю. Хотя, если есть время – полистать на досуге крайне полезно. Нас же, с точки зрения информационной безопасности интересуют только 3 самых важных статьи.

23-я, касающаяся неприкосновенности частной жизни и тайны переписки. Именно по ней, как правило, заводится большинство дел. В том числе уголовных.

24-я. Гласящая, что сбор, хранение и использование информации о частной жизни лица без его разрешения не допускаются. И в то же время, есть статья 29, где каждому разрешается свободно искать, получать, производить и передавать инфу любыми законными способами.

Есть правда сведения, относящиеся к государственной тайне. Но эти вещи уже определяются федеральным законодательством. Так ФЗ № «390» определяет основные принципы деятельности по обеспечению безопасности в РФ.

Внутри него есть отсылки к ряду других документов, в которых уже конкретизирована общая стратегия нац. безопасности, представлен вектор развития информационного общества и изложена основная доктрина ИБ.

Все это нужно для того, чтобы государство могло регулировать качество жизни граждан за счёт наделения их различного рода правами и в некотором роде свободами.

Которые в теории должны обеспечивать нам независимость, целостность и перспективу социально-экономического развития. Во всяком случае, на бумаге общая политика государства нацелена именно на этот сценарий.

Ну а как уж оно на практике получается, вы и сами можете рассудить, банально выйдя на улицу и оглянувшись по сторонам. Но не спешите кричать Рашка – какашка. В других странах за счёт своебразного регулирования в сфере ИБ вообще творится полная жесть.

Особенности ИБ в разных странах

Возьмём те же штаты. В Америке, согласно законодательству, страна может совершенно спокойно физически атаковать оппонента, совершившего атаку в киберпространстве.

А Китае вообще по умолчанию активирован режим усиленных проверок всех зарубежных поставок, которые используются для оснащения компаний гос. отрасли.

Причём это относится даже к софту. Как вам такой картбланж? Можно ривёрсить любое забугорное ПО сколько душе угодно ища в нём критические уязвимости на абсолютно законных правах кладя большой болт на лицензионные соглашения авторов.

Однако, давайте вернёмся к нашим реалиям. Согласно отечественной стратегии нац. безопасности проклятый Запад только и делает, что стремится сохранить гегемонию, тогда как Россия, конечно же, всеми руками выступает за равноправие.

Только вот о каком равноправии идёт речь, честно говоря, не понятно. Число кибератак неуклонно растёт. В том числе и со стороны спецслужб. Никакой анонимности в сетке практически не осталось. Даже TORу с недавних пор ограничили кислород.

И да, я прекрасно понимаю, что главной цель ИБ в Рашке – укрепить суверенитет в цифровом мире. Но не перегибать же палку настолько сильно. Сделайте хоть какую-то иллюзию демократии.

А то кругом одни угрозы общественной безопасности, нарушающие устойчивость функционирования критической информационной инфраструктуры РФ.

Домашнее задание по ИБ

Кстати, напишите в комментариях, какие конкретно области относится к КИИ в нашей стране и почему импортные технологии, значительно повышают их уязвимость.

Посмотрим, сколько среди подписчиков людей умеющих гуглить действительно значимую инфу, а не только курсы крипты на бинансе. Если понравился выпуск – не забудь прожать лайк, сразу после просмотра.

Ну и конечно же, подпишись на канал, если залетел к нам на огонёк первый раз. Мы тут во всех подробностях разбираем инфу, необходимую чтобы стать реальным специалистом по инфобезу.

В следующем выпуске продолжим разбирать базовые термины, которыми апеллируют безопасники. Речь пойдёт о существующих угрозах, уязвимостях, нарушениях и конечно же, федеральных законах, которыми эти истории регламентируются.

Параллельно более детально разберём виды общедоступной и ограниченной информации. Функции оператора информационных систем и какая ответственность по факту на него возлагается.

Короче, если вам интересно такое теоретическое душнилово, обязательно подписывайтесь и будьте в курсе. Ну а я в свою очередь постараюсь хотя бы частично сделать из вас реальных спецов, а не мамкиных безопасников.

В заключении, по традиции хочу пожелать всем удачи, успеха и самое главное, крепкого здоровья вам и вашим близким в новом году. Любите то, что вы делаете. Никогда не переставайте учиться.

И тогда, вселенная непременно отсыпет вам ништяков из пакета с подарками. А может даже отдаст его целиком. С вами, как обычно, был Денчик. Увидимся в 22-ом, камрады. Всем пока.