Что делать?

Упорядочение неверное. Надо было вот так: что я буду делать после учебы? -> не понимаю -> понял -> мне нужно освоить что-то еще -> пошёл учиться на кафедру {}.

В той же Российской Федерации есть весьма развитый рынок программно-аппаратных комплексов в сфере защиты информации. Продукты проходят сертификацию ФСТЭК и ФСБ, после чего продаются на сотни миллионов в год. Покупаются в основном теми организациями, чьи компьютерные системы согласно российским законам должны быть аттестованы не ниже определенного уровня. Равно как в организации владельцами по собственному усмотрению может быть введен режим коммерческой тайны. Соответственно в таких системах(обычных сетях состоящих из рабочих станций и серверов) должны использоваться только то ПО, что прошло сертификацию госрегуляторов(ФСТЭК и ФСБ) на какой-то из уровней. Поскольку аттестацию проходит вся система(сеть) в целом. Уровней довольно много, и коммерческая тайна, и секретно и гостайна.

Недавний скандал с бэкдорами в OpenBSD (http://www.computerra.ru/own/kiwi/587263/) показал, что деятельность госрегуляторов по проведению сертификации ПО и программно-аппаратных комплексов очень даже обоснована. Те кому доводилось читать список требований, по которым производится подобная сертификация не дадут соврать, что требования весьма современные и разумные(адекватные).

Для работы в этой сфере требуется быть или разработчиком(ПО, аппаратура) или тестером(quality assurance) или криптоаналитиком. В любом случае специфика типичная любой сфере разработки софтовых решений enterprise уровня, но с уклоном в сферу информационной безопасности. В плане понимания, основных криптографических протоколов, не обязательно в контексте реализации криптоалгоритмов для шифрования, поскольку часть решений строится на реализации дополнительных надстроек над существующими механизмами аутентификации или проверки целостности. А так же в плане понимания принципов безопасности компьютерных систем в целом, т.е. способности представлять типичные модели угроз.

В целом – даже на российском рынке систем информационной безопасности на текущий момент есть очень ощутимый и растущий дефицит квалифицированных разработчиков, тестеров, аналитиков, тимлидов, продакт менеджеров и менеджеров проектов. Типичный уровень зарплаты рядового разработчика или тестера на текущий момент составляет 50-130т.руб./месяц уже с премиями и после вычета налогов.

Обучение по указанной специальности позволит окунуться в специфику сегмента систем информационной безопасности. При этом в процессе обучения надо делать выбор, чем именно заниматься работая в этом сегменте. Быть одним из тех, кто проектирует и разрабатывает данные системы или одним из тех, кто продает, внедряет и обеспечивает тех.поддержку таковых.
Начинать трудоустройство необходимо самостоятельно курса со второго-третьего. Это позволит обрести как необходимые навыки в технологиях, так и опыт прохождения технических интервью(собеседований). А так же к моменту получения диплома составить собственное представление о компаниях и проектах существующих в этой сфере деятельности.

Недавний скандал с бэкдорами в OpenBSD (http://www.computerra.ru/own/kiwi/587263/) показал, что деятельность госрегуляторов по проведению сертификации ПО и программно-аппаратных комплексов очень даже обоснована.

Не вижу связи с теми, якобы эфемерными, бэкдорами (см. комменты).

В целом – даже на российском рынке систем информационной безопасности на текущий момент есть очень ощутимый и растущий дефицит квалифицированных разработчиков, тестеров, аналитиков, тимлидов, продакт менеджеров и менеджеров проектов.

На рынке (не только российском) вообще дефицит _квалифицированных_ _специалистов_ (в любой области).

Какая-то инфляция темы, поднятой в заголовке. "Что делать" – вопрос более фундаментальный, например такой:

А не строим ли мы сами себе тюрьму, работая над укреплением инфобезопасности? Ведь плодами пользуются прежде всего заказчики, для которых мы рабочий скот, который надо держать в узде и в стойле...

Не рой другому яму строй для других систему ограничения доступа к информации ограничения – сам в неё попадёшь!

Недавний скандал с бэкдорами в OpenBSD ([WWW] http://www.computerra.ru/own/kiwi/587263/) показал, что деятельность госрегуляторов по проведению сертификации ПО и программно-аппаратных комплексов очень даже обоснована.

Сразу возникает список риторических вопросов:

Сколько реальных бэкдоров нашли госрегуляторы? Гостайна, да?
Кто "регулирует госрегуляторов"? Они могут предоставить все свои программно-аппаратные разработки для открытого анализа независимыми экспертами (в т.ч. зарубежными)? Они публикуют открыто (без подписок о неразглашении) сведения об уязвимостях (или даже "бэкдорах") в собственных "программно-аппаратных" комплексах? Сертифицируемых ими разработках сторонних производителей? Госрегуляторы проводят открытые разработки и принятие стандартов (с привлечением зарубежных специалистов) — по аналогии конкурсов НИСТ США?

Даже тот же НИСТ, часто при содействии АНБ продвигал нечто, почти раскрытое как бэкдоры в криптоалгоритмах. Лицензии госслужб США и Великобритании выдавались на сомнительные аппаратные решения и т.д. Отечественные госсертификаторы чем-то лучше зарубежных? И фактически, даже специалисты из регулирующих органов в этой сфере (в любой стране), они больше кто — специалисты или чиновники?

А не строим ли мы сами себе тюрьму, работая над укреплением инфобезопасности

Чтобы человек не укреплял и не совершенствовал, из всего, даже самого прекрасного или безобидного, всё равно можно построить какую-нибудь гадость.
тэги: политота, философизмы, экономикомаразмы и прочие возбуждающие троллей слова.

Сейчас пичкают математикой и логикой(6 математик)

"Математику уже затем учить нужно, что она ум в порядок приводит" М.В.Ломоносов

В университете мне внятного ответа, что я буду делать, востребован ли я буду или нет не дал

Я уже закончил по этой самой "Комплексной защите". До сих пор не знаю как устроиться по специальности и что нужно будет делать.
И даже больше, меня один раз пригласили в нефтегазовую компанию на собеседование (!нашли сами через этот сайт!). Так вот, даже разговаривая с начальниками соответствующих подразделений, я не мог добиться что нужно будет конкретно делать и какими знаниями я должен обладать – только общие слова и упоминание что возможно много бумажной работы. (может это такая секретность суперская – даже при приеме ничего не говорить. От этого профессия кажется еще круче).

Сейчас работаю программистом и техническим писателем (ТЗ и проч.) – но с ИБ моя профессиональная деятельность, к сожалению, никак не связана.

unknown, ну харэ истерику пороть :)
Есть предприятия и организации работающие в режиме совсекретно и гостайна. Безопасность тех компьютерных систем, что в них используются – это обороноспособность страны. Госрегуляторы потому и требуют проведения аттестации таких систем. Ведь у России лишь два союзника – армия и флот.
Люди добровольно работающие в режиме коммерческой тайны обычно используют системы(софт) сертифицированные на отсутствие недокументированных возможностей. Полезен любой квалифицированный комплексный аудит от исходников и до процесса сборки в точности тех бинарников, что представляют собой продаваемый продукт. В целом же сертификация госрегуляторами проводится не лично, а по сути через услуги аудиторских компаний аккредитованных на подобную деятельность.
Да в стране демократия лишь формально, везде и всюду буйно цветёт "чекизм", а у власти некий сурогат, классический "элитный паразитариум", типичный скорее для африканских стран.
Однако, допусти мы хоть на время возможность вшить в компьютерные системы что-то сродни творениям Йоанны Рутковской и страна навсегда останется с неразвитой экономикой представляющей собой лишь обслугу нефтегазовой трубы. Именно такой этот мир видит и хотел бы видеть в дальнейшем страну именуемую сейчас Российская Федерация. На территории РФ практически ничего производить нерентабельно. Ни в плане промышленности, ни в плане сельского хозяйства. Остается разрабатывать технологии, а для этого нужно и противодействие промышленному шпионажу и инженерная прослойка среди населения согласная жить в этой грязи с ненавистью, занимаясь строительством нового государства.
Это всё к тому, что подход к организации безопасности может быть либо для охраны власти текущей медвепутии возглавляющей российский элитный паразитариум. Либо в контексте хоть какого-то, но патриотизма. Хотя бы из-за попыток заглянуть в те или иные перспективы для страны. Которой пока что светит лишь эволюционировать из обслуги нефтегазовой трубы в переработчика и могильник для радиоактивных отходов со всего мира.
И вот не надо к нам лезть ни с промышленным, ни с другим шпионажем. Конечно в этой стране очень и очень многое придется поменять и в плане политического уклада и в гражданско-правовом сознании граждан, но это наше личное дело и мы должны иметь на это хоть какой-то шанс. Т.е. аниматься переделкой страны и общества можно лишь обеспечив хоть какую-то безопасность.

А применимо к молодым специалистам – вначале создается рынок продуктов информационной безопасности, покрывающий далеко не только режимные предприятия. Условия этого рынка приводят к появлению востребованности специалистов разработчиков, а так же определяет их уровень жизни(доходов). Развитие рынка в дальнейшем уже к повышению уровня квалификации специалистов. На текущий момент данный сегмент рынка программных и программно-аппаратных решений растет, развивается и совершенствуется. И если часть накопленных/наработанных технологий, ранее использующихся на обеспечение "непробиваемости" режимных объектов, пойдет в гражданские системы, то вряд ли от этого станет хуже российскому рынку коробочных программных продуктов. И если вчерашний молодой специалист согласен жить в этой стране на те же 70т.руб./месяц, занимаясь делом и внося свой вклад в развитие страны – то разве это плохо? :)

в этой стране

проговорился захватчик. А если не захватчик и Россия твоя родина, то ты вообще хрен знает что.

допусти мы хоть на время возможность вшить в компьютерные системы что-то сродни творениям Йоанны Рутковской и страна навсегда останется с неразвитой экономикой представляющей собой лишь обслугу нефтегазовой трубы

А урановые центрифуги встанут. И спутники упадут. И враги оккупируют. Это понятно.

И если вчерашний молодой специалист согласен жить в этой стране на те же 70т.руб./месяц, занимаясь делом и внося свой вклад в развитие страны – то разве это плохо?

Пусть работает, но и имеет возможность публиковаться, пишет такие же работы, как Рутковска или лучше, развивает открытое сообщество пользователей систем безопасности, будет известен наряду с мировыми специалистами. Или развитие технологий опять только для себя, для узковедомственных/узкокорпоративных интересов сначала, под соусом патриотизма (пусть и с достойной зарплатой), а вот в светлом будущем...

В основном тематика сайта — безопасность для всех, для любых пользователей — или с точки зрения общей теории и практики, или с точки "(пост)шифрпанковской" культуры скорее.

А корпоративного и тем более государственного сектора безопасности мы не касаемся вообще и в те проблемы не лезем, поэтому и советов тут мало. Конечно такое видение проблематики никому не навязывается, лицензирование СКЗИ и прочее здесь кто-то спрашивал и т.д., если кто ответит — хорошо, но в целом немного не по адресу.

unknown,

Пусть работает, но и имеет возможность публиковаться, пишет такие же работы, как Рутковска или лучше, развивает открытое сообщество пользователей систем безопасности, будет известен наряду с мировыми специалистами. Или развитие технологий опять только для себя, для узковедомственных/ узкокорпоративных интересов сначала, под соусом патриотизма (пусть и с достойной зарплатой), а вот в светлом будущем...

На текущий момент российские компании занимающиеся разработкой систем информационной безопасности являются обыкновенными комерческими юр.лицами. Соответственно свобода деятельности сотрудников таковых никак не ограничивается, накопленные знания и разработанные технологии не засекречиваются. Выходить на мировой рынок с готовыми продуктами на базе этих наработок родимые госрегуляторы не запрещают. Т.е. нет запрета на экспорт.
В итоге, в России разрабатываются как коробочные продукты так и аутсортсинговые проекты для complaints и сектора ИБ других стран.
Опыт разработки систем и продуктов отвечающих требованиям работы с той же гостайной – это то, что позволяет очертить определенную планку уровня разработок. Если к этому добавляется опыт разработки энерпрайз солюшенов в целом(в том плане что под этим понимается в мире), то на выходе может получиться компания способная производить вполне достойные продукты для мирового рынка.
Сотрудники же в таком случае имеют возможность свободно выбирать, заниматься ли им своей профессиональной деятельностью в этой компании или другой, в этой или иной стране.
Именно поэтой причине столь велика роль аудита и сертификации выполняемая госрегуляторами. Поскольку на них при такой схеме целиком и полностью ложится ответственность за национальную безопасность страны.
Вполне современный и цивилизованный подход обеспечивающий и развитие технологий и экпорт продукции и личную с профессиональной свободами для граждан.

накопленные знания и разработанные технологии не засекречиваются

Вот один из основных "посылов" этого сайта это то, что открытые программные разработки в сфере информационной безопасности лучше закрытых просто потому, что у них проверяющих гораздо больше.

на выходе может получиться компания способная производить вполне достойные продукты для мирового рынка.

Так мы от этих продуктов прежде всего безопасности хотим или денег?

Вот один из основных "посылов" этого сайта это то, что открытые программные разработки в сфере информационной безопасности лучше закрытых просто потому, что у них проверяющих гораздо больше.

Возможно несколько путей ведущих к желаемому результату. Государству необходимы продукты и решения способные обеспечивать информационную безопасность, как неотъемлемая часть национальной безопасности. В государстве российском этим вопросом занимается ФСБ. Если была допущена ошибка при сертификации, которая привела или могла привести к утечке информации составляющей гостайну, то действия ответственного рассматриваются, как предательство. Последствия для человек – "высшую мера". Сколько бы не пели гуманисты про мораторий на смертную казнь, всегда останутся вещи "де-юро" и "де-факто".
Возникает вопрос, а кто лучше мотивирован, толпа независимых экспертов не рискующих ничем в случае своего промаха или же офицеры ходящий под "вышкой"?
Отчасти потому проверкой таких продуктов занимается сразу несколько независимых команд, но ответственность же в конечном итоге замыкается на конкретные персоналии. Потому сертификация продуктов в ФСБ на уровень совсекретно и гостайна обходится в миллионы рублей, а по времени занимает полтора-два года.
И вот после прохождения всех этих терний продукт начинает поставляться не только в те организации и службы, где не может быть более слабых решений, но и на гражданский рынок. Если же продукт при этом на открытых исходниках, то после поступления на гражданский рынок, может быть подвергнут дополнительному аудиту любыми сторонними экспертами. Что отчасти является, в свою очередь, обратной связью для дополнительного контроля деятельности офицеров ответственных за эту часть национальной безопасности. При этом ФСБ по сути лишено возможности запретить создавать продукты/решения на базе открытых исходников.
Возможен и другой вариант, когда вендор желая сэкономить финансы и нервы вначале выбрасывает продукт на рынок, обкатывает, закрывает найденные прорехи. И уже желая расширить рынок сбыта, условно говоря, за счет госзаказов – проходит сертификацию госрегулятора.
Примерно такой путь обеспечения национальной безопасности, в плане информационных систем, на текущий момент и выбран в РФ. Насколько оный оправдан покажет время, что-то порядка ближайших трёх-пяти лет.

Так мы от этих продуктов прежде всего безопасности хотим или денег?

Патриотизм зачастую очень тонко граничит с идиотизмом :) И всё же, отрадно тешить себя надеждой, что изложенный выше подход может обеспечить как безопасность на разных уровнях, так и сравнительно безбедное существование, без стагнации, для вендоров.