Что делать?

Если была допущена ошибка при сертификации, которая привела или могла привести к утечке информации составляющей гостайну, то действия ответственного рассматриваются, как предательство. Последствия для человек – "высшую мера".Сколько бы не пели гуманисты про мораторий на смертную казнь, всегда останутся вещи "де-юро" и "де-факто".

Да ну (простите, нах)! И кто-то ещё на это ведётся? Подписывается под этим? Соглашается вести унылое существование под присмотром, даже если это всего лишь нагловатые шуточки со стороны компетентных товарищей?

Как-то сразу незаконченная книжка Масленникова вспоминается (в форуме обсуждалась). Про атмосферу, в которой нет никакого желания создавать что-либо новое. При таком подходе проще тупо высиживать от звонка до звонка, сдувать пыль с устаревших инструкций и размазывать ответственность бюрократическим способом — целее будешь. С такой мотивацией получается застойное болото.

Это в любой организации кстати может произойти такое вырождение, хоть в государственной, хоть в крупной коммерческой ("зАмок Кафки"; законы Мерфи, описывающие бюрократию).

Мало кто из криптографов берётся создавать новые криптоалгоритмы(шифры). Слишком уж (большой вызов). Именно на различные сложности возникающие при попытках заниматься такой работой в середине 90-х и сетует Михаил.
Несколько неуместно такую деятельность сравнивать с проверкой блейд-сервера с кастомизированной FreeBSD внутри и рядом реализаций ГОСТовских алгоритмов. На предмет, можно ли этому оборудованию, этому варианту ОСи и таким реализациям ГОСТов доверять роль vpn-шлюза.
При этом большинство аудиторов может ни коим образом не работать в ФСБ, но по их отчетам принимаются решения со стороны руководителей/офицеров. Задача которых так организовать процесс сбора необходимых данных и процесса принятия решений, чтобы исключить почти все возможные варианты "протаскивания" кем либо через процедуру сертификации решений с "закладками".

Предыдущий пост написан мною.
В догонку, вроде как этой осенью Михаил "вернулся из иммиграции" :)

Так никто не спорит именно с этим вообще. Собственно деятельность специалистов на госслужбе не отрицается как изначально полезная и необходимая для государства, при условии, что вся работа организована хорошо.

Есть рынок специалистов, которые могут не состоять на госслужбе, но работать в каких-то фирмах, выполняющих госзаказ — тоже прекрасно. Вопрос мотивации — в конце концов их личный выбор, все плюсы и минусы пусть взвешивают сами.

Выбор вполне может быть достойный и не нужно его политизировать (то что вы там писали про "паразитариум", "медвепутинскую элиту" — вот к чему это всё опять?) Страна сама по себе, текущий политрежим сам по себе. Специалисты для интересов государства будут нужны всегда. Даже если на обычном рынке на них не будет спроса.

Вы утверждаете, что есть спрос и на обычном рынке. Приведите примеры тому, кто начал тему, это ведь его вопрос.

И опять же, рядовым пользователям свободных продуктов от этого пока ни жарко, ни холодно. Коммерческим потребителям сертификаты нужны часто только, чтобы отстали проверяющие.

Ну если такой специалист будет уделять время свободному сообществу, то да хорошо. Если ваша идея состоит, что чем больше специалистов, то количество перейдёт в качество на всех уровнях и кроме государственного и узкокоммерческого спроса будет и поддержка свободных исследований, то можно помечтать и об этом светлом будущем.

рынок программно-аппаратных комплексов в сфере защиты информации.

А вот интересно, как иностранные микросхемы аудит проходят?

И даже если полностью изучить какой-то экземпляр, где гарантия, что в других то же самое? Вот может лучше что нибудь совсем простенькое (криптомодуль) но своё?

хинт: процессор Эльбрус. Однако ж, собирать его всё равно будут заграницей — в России нет технологий изготовления современных микропроцессоров вообще.

С одной стороны не в курсе о том как именно в ФСБ проходит аудит железа. С другой, процедура сертификации – это аудит проекта с предоставлением конкретного прототипа. Перед постановкой же "на боевое дежурство" конкретные экземпляры оборудования должны проходить очередную валидацию/проверку. Вдруг где-то в пути, от производителя до объекта, кто-то внутри что-то подкрутил.

Так никто не спорит именно с этим вообще. Собственно деятельность специалистов на госслужбе не отрицается как изначально полезная и необходимая для государства, при условии, что вся работа организована хорошо.

Для оценки хорошо или плохо организована эта работа нужно иметь представление об этом. Примерное представление и должно будет сложиться исходя из обмена реплик у тех, кто в решит ознакомиться с этим тредом.

Есть рынок специалистов, которые могут не состоять на госслужбе, но работать в каких-то фирмах, выполняющих госзаказ — тоже прекрасно. Вопрос мотивации — в конце концов их личный выбор, все плюсы и минусы пусть взвешивают сами.

На современном российском рынке информационной безопасности уже почти не осталось компаний-игроков специализирующихся именно на выполнении неких госзаказов. Закупки для госсектора производятся уже готовых сертифицированных продуктов-решений. На неких условиях той или иной конкуренции между этими игроками.
Т.е. уже нет ситуации, когда госслужбы и иже с ними размещают заказ в какой-то коммерческой структуре, а после его выполнения "протаскивают через сертификацию".

Выбор вполне может быть достойный и не нужно его политизировать (то что вы там писали про "паразитариум", "медвепутинскую элиту" — вот к чему это всё опять?) Страна сама по себе, текущий политрежим сам по себе. Специалисты для интересов государства будут нужны всегда. Даже если на обычном рынке на них не будет спроса.

Профессиональная деятельность в качестве официального специалиста в секторе информационной безопасности очень часто рассматривается или как деятельность направленная на защиту коммерческих бизнес-структур от госрегуляторов и контроля со стороны ведомств (налоговая/прокуратура/МВД). Или же, в противоположном случае, как "служба" направленная на охрану текущего политического режима в государстве.
Текущий же уровень развития сектора информационной безопасности в РФ позволяет быть квалифицированным и востребованным специалистом не вляпываясь ни в ту, ни в другую из означенных крайностей. Заниматься разработкой различных решений продаваемых и тем и другим. Отчасти ради наживы, отчасти ради развития материально технической базы для возможности присутствовать с этими продуктами на мировом рынке.
Соответственно, этот расклад позволяет реализовать как желание заниматься эволюционированием данного вида производства, работая на благо родины в стратегическом плане, сродни долгосрочных экономических перспектив, так и закрывая вопросы национальной безопасности :)

Вы утверждаете, что есть спрос и на обычном рынке. Приведите примеры тому, кто начал тему, это ведь его вопрос.

В этом нет смысла, не должно быть навязывания ни в той, ни в иной форме. Найти компании занимающиеся разработкой в секторе информационной безопасности. Посмотреть списки вакансий и требований к знаниям/опыту кандидатов, походить по интервью(собеседованиям). Составить собственное впечатление о людям, проектах и подходам к организации деятельности. Это должно быть сделано человеком самостоятельно. И только после полного погружения человеком в этот контекст, уже будет смысл говорить о конкретных компаниях, приводя примеры и останавливаясь на нюансах. Иначе получится разговор глухого с немым.

Коммерческим потребителям сертификаты нужны часто только, чтобы отстали проверяющие.

Именно это являлось отчасти начальной фазой развития российского рынка информационной безопасности. В так называемых "цивилизованных" странах принято разделять рынок созданный требованиями госрегуляторов(камплаинс) и рынок средств информационной безопасности. Приходится констатировать, что в РФ эти два сектора пока что тесно переплетены. В тоже время, именно эта начальная фаза позволила привлечь финансы в отечественный сектор производства средств информационной безопасности. Соответственно создать рабочие места и начать привлекать к этой деятельности более-менее профессиональных специалистов.

Если ваша идея состоит, что чем больше специалистов, то количество перейдёт в качество на всех уровнях и кроме государственного и узкокоммерческого спроса будет и поддержка свободных исследований, то можно помечтать и об этом светлом будущем.

У человека, пусть вчерашнего молодого специалиста, зачастую полно амбиций связанных не только с признанием своих интеллектуальных достоинств в том или ином сообществе. Сколько изрядная часть амбиций связано и с материальным обеспечением собственного уровня жизни. Текущее положение дел с уровнем оплаты труда на российском рынке информационной безопасности вселяет надежду, что после решения бытовых вопросов у специалистов остается время и силы для дальнейшего профессионального роста.
Обоснование этой точки зрения кроется в вопросах мотивации. Если человек осознает, что можно стать более высокооплачиваемым специалистом вкладываясь непосредственно в свое профессиональное развитие. То это и приводит к всплеску деятельности не связанной напрямую с исполнением лишь должностных обязанностей, а направленной на самостоятельные изыскания.

меня один раз пригласили в нефтегазовую компанию на собеседование (!нашли сами через этот сайт!)

Через pgpru.com? Это как? Посмотрели в информацию, указанную в профиле? :)

может это такая секретность суперская – даже при приеме ничего не говорить. От этого профессия кажется еще круче

Да, народ ориентируется на крутость :) (дурной признак при выборе профессии).

Добавлю от себя 5 копеек:

В детстве, даже во времена, когда совсем ничего не понимал в компьютерах, специальности, связанные с программированием и сетями казались самыми востребованными, а ИБ казалось уже совсем "илитарной". В вузах на эти специальности был повышенный конкурс, особенно если они — не профильные для факультета (к примеру, прогеры на матфаке), но я туда и не ломился.

На Физтехе — ещё интересней: такие специальности есть на РТ, но, как рассказывают, если на собседовании покажешь что тебе интересно прежде всего именно ИБ, то вообще в вуз не возьмут, ни на какую специальность. Логика проводящих собеседование примерно такая: народ туда идёт понтов ради, слабо представляя что это, о чём оно, и зачем нужно. Т.е. "хочу на специальность ИБ" в ушах приёмной комиссии звучит как "хочу быть управленцем" или "хочу быть госчиновником — у вас на них учат" или что-то в этом роде. Возможно, это — следствие специфики вуза, но считается, что достойно хотеть получить блестящее хорошее образование, т.е. какую-то базу, а уж как вы её потом будете использовать в сугубо вторичном техническом частном случае — дело третье. В таких рамках что "программист на пыхе", что "админ линукса", что "спец по ИБ" звучат примерно одинаково. Ещё момент в том, что к ИБ в широком смысле можно отнести слишком много чего: начиная от серьёзных научных разработок (самой криптографии, анонимных сетей, протоколов — по всему этому пишутся статьи в научные журналы), и кончая "продвинутым админством". Да, можно выделить нечто общее, характерное для ИБ — какие-то факты, идеи... но они помесятся в одну книгу, изучив которую вы на практике работать всё равно не сможете. Вот пример: знание того как работает ipsec и умение его настраивать — это что? ИБ? Или админство? А настройка опций ssh или openvpn? Итого, техника — одно, общая теория, стоящая за техникой — другое, а криптография как наука, стоящая в основе всего — третье. Люди из этих разных лагерей могут вообще друг друга не понимать. Мне вот довелось повидать по рабочей необходимости людей, которые более-менее представляют что есть хэши, RSA, DSA, ECC и т.д., но которые не могут назвать ни одной живой реализации для людей этих алгоритмов (т.е. слова gnupg или ssh им ни о чём не говорят). Когда таким генеришь ключи, объясняя что значит по криптографии производимые действия (типа сверка отпечатка по телефону), у них прям момент познания истины на лице :) Что-то я отвлёкся. Продолжая про РТ, могу заметить и результат: всех кого на ту специальность взяли, потом выгнали за неуспеваемость. В общем-то оно и понятно: если мозг наличествует, то идёшь в вуз освоить то, что фундаментально, и что очень трудно изучить самому, а вот книжки по экономике, финансовому анализу, организации информационной безопасности на предприятии, бухучёту (да, да, на Физтехе есть курсы бухучёта по выбору!), программированию на пыхе можно легко освоить самостоятельно при возникновении рабочей необходимости.

Мораль: с учётом вышесказанного не мудрено, что научить чему-то дельному на этих модных специальностях не могут (равно как и на всяких менеджеропроизводящих). В частности, многие компании, как заявляется, всё делают проще: они принимают на работу выпускников тех вузов, которые гарантируют (хоть и не абсолютно) минимальный мозг на выходе, и уже сами их дообучают тому, что им нужно. В некоторые компании берут исключительно выпускников топовых вузов, т.е. если в дипломе указано что-то иное, процесс не дойдёт даже до собеседования.

Тэги: имхо, ещё раз ИМХО, пересказы чужих сплетен, домыслы, ОБС "один товарищ лично при встрече сказал" и т.д.

[offtop]
L1d, вы или телевизор пересмотрели, или правительственных планов перекурили. Это я о такой вещи, как бюрократический язык (ссылка уже пробегала здесь: /comment40433).
[/offtop]

[offtop]

L1d, вы или телевизор пересмотрели, или правительственных планов перекурили. Это я о такой вещи, как бюрократический язык (ссылка уже пробегала здесь: /comment40433).

Смиритесь :)
Если вкратце, то это издержки работы в команде или руководства командой. Когда большая часть работы – это взаимодействие с людьми.
Если же более развернуто, то есть язык дипломатический, есть деловой, есть бюрократический, есть обиходный. Использование глаголов требует местоимений – "я", "ты", "мы", "они". И это неблагоприятно сказывается на психологическом комфорте, как бы цепляет людей.
Вместо:

"Василий, когда бачок сливной в туалете починишь?"

приходится спрашивать иначе:

"Василий, что по времени с починкой бачка сливного в туалете?"

Не кто и что должен сделать, а то какие задачи и вопросы надо выполнить. Давать понять человеку, что ключевое не в том, что он должен сделать какую-то там работу, а что такую-то работу просто надо сделать. Потому как если человеку в той или иной форме постоянно напоминать, что именно он должен делать – то почти любой начнет "брыкаться" и в той или иной форме саботировать работу.
Время же упоминается по той причине, что задач обычно довольно много, выполнение которых необходимо координировать:
– выполнять задачи и в соответствии с приоритетами
– исходить из того, что некоторые из них не существуют сами по себе в пространстве, а взаимосвязаны с другими задачами
– выполнение каких-то задач можно распараллелить

А координировать – это не в плане людьми покомандовать, а в плане организовывать работу таким образом, чтобы на одном временном отрезке(день, неделя) уместить максимальное количество выполненных задач. Т.е. из обращения к человеку должно быть понятно, что ключевое не в том, что оный должен сделать, а что это вообще надо сделать. Давать понять, что вопрос вызван не с тем, что человеком командуют, а с тем, что происходит координация его деятельности с деятельностью других людей. Поскольку отсутствие результата выполнения аффектит работу других людей и в итоге из-за этого страдают общие цели и задачи. Ради выполнения которых, собственно, и существует эта команда/подразделение/департамент.
[/offtop]

Через pgpru.com? Это как? Посмотрели в информацию, указанную в профиле? :)

Я тут даже резюме выкладывал :)
Вообще, они нашли сначала timemarker.org (что-то им нужно было по меткам времени и они на эту тему информацию собирали), а потом пошли читать на pgpru.com. Случайно наткнулись здесь на мое резюме (вроде как изначально вакансии вообще не было).

Да, народ ориентируется на крутость :) (дурной признак при выборе профессии).

специальности, связанные с программированием и сетями казались самыми востребованными, а ИБ казалось уже совсем "илитарной".

Я сказал "круто", вы сказали "элитарно". Суть одна.

Добавлю

Мораль: с учётом вышесказанного не мудрено, что научить чему-то дельному на этих модных специальностях не могут

Посущесву так (насчет ИБ).
Но не так мрачно, есть и там отличные преподаватели и отличные дисциплины, кто хочет тот знания получит. Кстати, до вашего поста, я не ассоциировал ИБ с манагерством и другими моднючими специальностями (надеюсь это не распространенное мнение).

программированию на пыхе можно легко освоить самостоятельно при возникновении рабочей необходимости

Конечно! программирование это прикладное знание, никто не спорит.
Но и тут, как и в каждом деле, есть свои нюансы и тонкости, и есть умные товарищи — не надо взирать на других с высока марки института, фундаментальности познании и учености.
Иногда приходится иметь дело вот с такими "освоившими как прогать на пыхе" – ничего нормального они не порождают (как не породите и вы если с таким отношение начнете "осваивать").


p.s. я не php работаю.

Так вот, даже разговаривая с начальниками соответствующих подразделений, я не мог добиться что нужно будет конкретно делать и какими знаниями я должен обладать – только общие слова и упоминание что возможно много бумажной работы.

Возможно, вы им чем-то приглянулись, и они хотели вас взять на работу, вообще никак не связанную с ИБ — почему бы и нет? Бывает, что не требуется каких-то особых знаний кроме общей "толковости" (грамотность, умение работать с людьми, хороший язык).

Мораль: с учётом вышесказанного не мудрено, что научить чему-то дельному на этих модных специальностях не могут

Посущесву так (насчет ИБ).

Одно время назад ещё было иначе, а сейчас "компьютерщиков" всех мастей уже давно клепают "недавно сформировавшиеся гуманитарные вузы". Кто не смотрел, есть отличная передача про ситуацию с образованием, в 4х частях на ютубе: 1, 2, 3, 4.

до вашего поста, я не ассоциировал ИБ с манагерством и другими моднючими специальностями (надеюсь это не распространенное мнение).

Один человек, закончивший факультет информационных технологий в управлении мне жаловался на то, что его не берут в банк программистом, а я почему-то не удивлён. Человек гордо именовал себя специалистом во всём на все руки и считал, что его всему научили. Речь была о примерах вузов типа вышеозначенного.

Но и тут, как и в каждом деле, есть свои нюансы и тонкости, и есть умные товарищи — не надо взирать на других с высока марки института, фундаментальности познании и учености.

Да, конечно. unknown, помнится, кидал ссылку на содержимое зарубежных курсов по криптографии. Аналогично, есть очень хорошие курсы и по Computer Science, где вас будут учить языкам as is, как некоторой математике, стоящей за ними (лямбда-исчисление, scheme и т.п.), а не синтаксису конкретного диалекта конкретного языка^*. Можно ориентироваться на них, чтобы объективно сравнить себя и лучших в своей области.

^*На выходе получается чел, которые может писать свой DSL (domain-specific language), адаптированный под нужную задачу, который понимает полный набор грамматик, их минусы и плюсы, может выбрать именно те свойства для DSL, какие нужны.

[off]

На выходе получается чел, которые может писать свой DSL (domain-specific language)

Вот только практическая полезность такого умения сомнительна, ну просто нет такого количества областей (domain) и психологических типов людей. Скорее это для эстетики (что, однако, может быть даже более важно в глобальной перспективе).
С алгоритмическими языками, по моему, уже всё в прошлом веке придумали. И начиная с некоторого (вобщем то, довольно невысокого) уровня становится неважно, на каком языке писать (вот как в литературе – ценится само художественное произведение, а не язык, на котором оно написано). Более важно, насколько надёжно он реализован, насколько удобна IDE, как организован процесс разработки... Но главное – разбираться в предметной области, в специфике задачи. Как когда-то давно было сказано на одном крупном автозаводе – "нам проще изучить компьютеры, чем им – производство автомобилей"
[/off]

Вообще да, в образовании приходится искать золотую середину между общим ("знать ничего обо всём") и конкретным ("знать всё ни о чём")...