Мария Сидорова: «Мы проверяем, как студенты, которые сегодня учатся на старших курсах, способны принимать решения по информационной безопасности»::Журнал СА 6.2018
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6459
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7153
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4435
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3096
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3895
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3910
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6400
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3244
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3540
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7381
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10735
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12456
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14123
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9206
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7151
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5458
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4691
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3506
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3218
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3457
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3103
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Мария Сидорова: «Мы проверяем, как студенты, которые сегодня учатся на старших курсах, способны принимать решения по информационной безопасности»

Архив номеров / 2018 / Выпуск №6 (187) / Мария Сидорова: «Мы проверяем, как студенты, которые сегодня учатся на старших курсах, способны принимать решения по информационной безопасности»

Рубрика: Безопасность /  Гость номера

Мария Сидорова:
«Мы проверяем, как студенты, которые сегодня учатся на старших курсах, способны принимать решения по информационной безопасности»

В апреле в Москве прошел III Всероссийский кейс-чемпионат для молодых специалистов по информационной безопасности RISC-2018. В гостях у «Системного администратора» организатор чемпионата – Мария Сидорова, руководитель сообщества RISC (Russian Information Security Club) в Санкт-Петербурге

Мария Сидорова
Мария Сидорова, руководитель сообщества RISC. В области информационной безопасности работает более 10 лет. В настоящий момент трудится в компании, занимающейся развитием рынка газомоторного топлива в России. Мария – один из ведущих российских экспертов в области защиты информации в виртуализированных инфраструктурах. Автор серии публикаций «Мифы виртуализации. Заблуждения и стереотипы относительно обеспечения информационной безопасности инфраструктур виртуализации». Входит в топ-10 рейтинга лучших ИБ-спикеров по версии BISA (DLP-Expert)

– Как родилась идея создания сообщества?

– История его создания достаточно долгая. Ранее я занималась созданием и поддержкой деятельности сообщества в Москве, занимавшегося вопросами безопасности в виртуализации. Я старалась объединить вокруг себя всех специалистов, которые работают в этой области. Когда это сообщество стало полноценно функционировать, ко мне пришли представители сообщества RISSPA и предложили объединить усилия. Мы объединились, стали и другие вопросы безопасности обсуждать… какое-то время работали вместе. Но потом по семейным обстоятельствам я уехала жить в Санкт-Петербург. Там подобных активностей у экспертного сообщества на тот момент не было. И, поскольку мы с RISSPA разошлись вомнениях, как это делать в Санкт-Петербурге, мы с коллегами решили начать все с нуля. Было это в 2014 году. То есть в мае нам исполнилось четыре года.

– Для сообщества, созданного с нуля, хороший срок!

– Да, и, судя по тому, что количество людей около нас растет, а количество проектов увеличивается, мы видим, что сообщество развивается.

– Сколько членов насчитывает ваше сообщество?

– Мы считаем людей, входящих в нашу группу в Facebook. На сегодняшний день это тот ресурс, который охватывает наибольшую аудиторию. Мы там публикуем только свои новости, информацию о своих активностях, так что посторонние там не ходят.

– Как много у вас активных членов сообщества?

– Тут вопрос в том, как оценивать активность. Потому что для определенных категорий сообщества интересны определенные темы. Так, студентам интересны свои, экспертам с более глубоким опытом – свои. То есть мы напоминаем, например, что хотим провести вебинар на такую-то тему, такого-то числа. Эксперты высказываются – «я бы мог рассказать об этом».

– Как появилась идея проводить именно кейс-чемпионаты для студентов?

– Мы проводили очные семинары, на которые, в том числе, приглашали именно студентов. Надо сказать, что в принципе мы не ставим никаких ограничений по посетителям…есть сто мест – мы берем сто человек. Представителей вендоров, экспертов, студентов.

И вот к нам обратились студенты одного из вузов с просьбой попытаться как-то вот это практическое вебинарное звено вписать в очное образование. Сначала мы не понимали, как это сделать. Да, перед глазами у нас был опыт CTF, то естьмы понимали, как у студентов проверять технические знания, но было непонятно, как проверять практические знания по управлению. Вещи эти немного разные. Когда проходит CTF, проверяется, как ты можешь взламывать. А мы хотели проверять, как студенты, которые сегодня учатся на старших курсах, завтра станут выпускниками и будут способны принимать решения по информационной безопасности.

– То есть речь шла именно об управленческом конкурсе среди технических специалистов?

– Да, именно управленческий конкурс. Нас интересовало, как студенты могут принимать решения в заданных рамках, как они взвешивают все «за» и «против», как они знают документацию по международной информационной безопасности, как они умеют ее применять. И мы решили организовывать такие тематические чемпионаты.

Если посмотреть на опыт трех чемпионатов, можно увидеть, что и задания немного менялись, и концепция. Мы стараемся, чтобы каждый следующий конкурс был лучше предыдущего. Обязательно собираем с каждого участника фидбэк: что понравилось, что не понравилось, что бы хотелось изменить, какие есть предложения по решениям? И всякий раз стараемся учесть все те пожелания, которые были высказаны.

Так, например, в этом году мы решили провести конкурс в Москве. Первые два чемпионата мы проводили в Санкт-Петербурге, потому что у нас основная база здесь. Но, как оказалось, студентам из регионов Санкт-Петербург не очень удобен. С точки зрения логистики Москва удобнее, сюда из российских городов добираться проще, ну и концентрация вузов выше.

– Расскажите об этапах подготовки чемпионата.

– Одна из сложностей, которая, правда, с каждым годом уменьшается – это то, что пока не все понимают, что это такое. К примеру, тот же CTF студентам более понятен изначально. Но чем больше мероприятий мы проводим, тем больше информации о них попадает в прессу, социальные сети, распространяется по сарафанному радио – и эта проблема уходит. И в наших чемпионатах участвуют люди, которые участвуют и в CTF. Там они проверяют свои технические знания винформационной безопасности, у нас – управленческие.

Конечно, мы привлекаем к проведению чемпионата компании-партнеры. Мероприятие требует не только нашей организационной работы, но и финансовых вложений.

Мы очень признательны нашим партнерам, состав их стабилен, как они начали с нами работать с самого первого чемпионата, так и поддерживают по сей день.

Каков их интерес? Компании подбирают себе кадры. Как правило, после финалов самых одаренных ребят тут же приглашают на собеседования. Как говорят представители компаний, по объявлениям на работных сайтах приходит немало соискателей, но редко такого уровня, как требуется. А чемпионат выявляет лучших. У нас действительно высокий уровень. К примеру, в финал выходят семь команд. Но эти семь команд мы подобрали из более чем сотни.

– Кто составляет задания чемпионата? Вы сами? Компании помогают?

– По нашей задумке, практические знания ребят должны оценивать те люди, на которых они должны равняться, те, какими они хотят стать в будущем. То есть действующие руководители подразделений по информационной безопасности. Нам кажется правильным, что задания делают представители компаний и проверяют тоже они. Если говорить о преимуществах, то первое – это бизнес-ориентация, а второе – это сами кейсы. Они готовятся в компаниях и проверяются вкомпаниях.

– Какие у вас планы по дальнейшему развитию?

– Мы хотим сделать чемпионат ежегодным, пока у нас это не получалось, но мы близки к осуществлению этого плана. Планируем расширять географию – привлекать команды не только из России, но и из стран СНГ. Хотим расширить круг компаний-партнеров.

Еще важный момент – качественный состав нашего сообщества. Ну и, возможно, в будущем мы возьмем в работу и старшеклассников. Для них бизнес-составляющая не совсем еще подходит, там мы сделаем акцент на общие вопросы безопасности.

По развитию самого сообщества – мы сейчас ищем для себя подходящую организационную форму. Мы не стремимся превратиться в ассоциацию, где берут членские взносы и этим живут, зарабатывать таким образом у нас цели нет. Скорее это будет что-то похожее на союз, объединение. Сейчас ничего подобного у безопасников нет. А потребность в нем есть. Группа в Facebook – это хорошо, но сегодня он есть, что будет завтра – непонятно, нужно рассчитывать на свой ресурс.

– Что может дать ваш союз его членам? Кроме дискуссионной площадки?

– К примеру, помощь в трудоустройстве. В нашей области есть вакансии закрытого характера. Такие запросы не публикуются на общедоступных ресурсах. Ищут проверенных специалистов, с рекомендациями. А рекомендации просят у нас, у тех, кто с нами работает, у наших экспертов. Запросы к нам приходят разные. К примеру, ищут молодого толкового специалиста с хорошей технической базой. У нас есть кандидаты, подходящие под эти условия.

Если проводить какой-то виртуальный срез нашей аудитории, то видны три категории.

Первая категори – те люди, которые уже состоялись в профессии, это наш костяк, наши эксперты, наша сила и мозговой центр. Мы им предлагаем некую тусовку, дискуссионную площадку, где можно обменяться мнениями.

Вторая категория – это те, кто еще в начале профессионального пути, такая «средняя прослойка», они заинтересованы в тех знания, которые могут дать наши эксперты, а также в личном пиаре, продвижении в ИТ, и мы можем им это дать.

И последняя группа – это совсем начинающие, это наши студенты. Они стремятся перебраться во вторую категорию, и для них очень полезно участие в мероприятиях. Наши чемпионаты – это, конечно, для третьей группы. Наша цель – организация третьей группы, потом «выращивание» ее до второй, далее – до первой…

Все звенья этой цепочки заинтересованы друг в друге. Идет профессиональное развитие, обновление кадров, мы ориентируемся на ситуацию на рынке. Кстати, у нас же не только российские, у нас и международные компании.

О сообществе

Russian Information Security Club (#RISC) – сообщество специалистов по информационной безопасности, основанное в мае 2014 года группой энтузиастов, имеющих многолетний опыт работы в этой области. Штаб товарищества RISC находится в Санкт-Петербурге.

RISC работает в нескольких форматах:

  • проведение очных семинаров на различные актуальные темы по информационной безопасности – приглашаются известные спикеры, формируется программа, приглашаются спонсоры и определяется место проведения;
  • организация и проведение очных и онлайн мастер-классов с известными экспертами;
  • выпуск различных методических документов, подготовка экспертных материалов и аналитических отчетов, основанных исключительно на практике работы в области информационной безопасности.

RISC не представляет интересы каких-либо производителей средств защиты или интеграторов. Комиссариат товарищества RISC состоит из практикующих специалистов по информационной безопасности, поэтому перед сообществом нестоит цель продавать какие-то товары или услуги.

RISC не берет плату ни за вступление в товарищество, ни за участие в своих мероприятиях.

Чтобы стать членом товарищества RISC, достаточно вступить в группу на Facebook.


Александр Двинских, капитан команды Bread Hunting, занявшей 1-е место в III чемпионате

– Пожалуйста, расскажите, как образовалась команда Bread Hunting? Как вы нашли друг друга? Почему решили участвовать?

– Нашу команду, можно сказать, собрала Семкина Наталия. Изначально мы планировали собрать команду из одногруппников (НИУ ВШЭ), но найти серьезных и не сильно занятых ребят было не так просто, поэтому Наталия предложила своим коллегам (учащимся), которые собственно нам и помогли (Дмитрий и Светлана).

О кейс-чемпионате я узнал, только когда его проводили второй раз. На тот момент я не мог участвовать, но с радостью выступил в роли зрителя. Когда узнал, что в этом году планируется новый чемпионат, то решил попробовать свои силы. Собственно, основная цель участия в кейс-чемпионате была не получение каких-то призов, а проверка своих знаний и навыков, которыми владею.

Команда Bread Hunting (слева направо): Наталия Семкина (НИУ ВШЭ), Александр Двинских (НИУ ВШЭ), Дмитрий Топорков (МПУ) и Светлана Кузьмичева (НИЯУ МИФИ), фото – Алексей Пырков
Команда Bread Hunting (слева направо): Наталия Семкина (НИУ ВШЭ), Александр Двинских (НИУ ВШЭ), Дмитрий Топорков (МПУ) и Светлана Кузьмичева (НИЯУ МИФИ), фото – Алексей Пырков

– Нравятся ли вам кейсы-задания Чемпионата? Они кажутся вам сложными или, наоборот, легкими?

– Задания в этом году были отличными. Мне они понравились еще с заочного этапа. Максимально проработаны условия задачи. Конечно, имелись и вопросы по исходным данным, которых иногда не хватало и приходилось делать предположения (а так ли на самом деле в организации?!). Назвать их сложными я не могу, т.к. имею уже опыт работы с различными системами защиты информации, а здесь как раз акцент в большей степени был на технические меры защиты. Можно сказать, что был в своей стихии. Легкими их тоже нельзя назвать, т.к. при решении задания очного этапа вся сложность была в ограниченности времени, поэтому, даже имея в голове организованный план, не успеваешь еговесь представить в виде презентации.

Также хотел отметить, что еще до получения задания заочного тура, я был уверен, что тематика задания будет связана с актуальными темами по ИБ, такими как безопасность КИИ.

– Удалось ли в ходе чемпионата узнать что-то новое? Чему-то научиться? Если да, то чему? Если нет, то чтобы вы хотели получить от участия в чемпионате (новые знания, опыт, знакомства, работу и т.д.)?

– Безусловно, даже в ходе решения задания заочного тура мне пришлось изучить принципы работы систем защиты, с которыми ранее не сталкивался. Дополнительно по завершении кейс-чемпионата я завел новые знакомства с интересными людьми и профессионалами в этой области, что не может не радовать. Как я уже сказал ранее, основная цель участия в чемпионате была проверка себя как специалиста по ИБ, и, собственно, этой цели я достиг.

– Чего вам как молодому специалисту по ИБкатастрофически не хватает на рынке ИБ? Видите ли вы какие-то проблемы на рынке ИБ? Если да, то какие?

– Я бы хотел выделить то, что бОльшая часть проблем связана именно с российским рынком ИБ, да и в целом с ведением бизнеса в России. Сейчас из-за санкций, требований регуляторов нет возможности приобретать качественные зарубежные решения по ИБ (не будем называть компании). С одной стороны, это, конечно, хорошо, т.к. мы продвигаем наши разработки, но с другой, как показывает практика, качество этих разработок оставляет желать лучшего. При этом стоимость отечественного решения будет в два, три, четыре... раза дороже зарубежного аналога только лишь из-за того, что имеет сертификат соответствия регулятора. На своем небольшом опыте я уже столкнулся с большим количеством таких примеров.

Чего не хватает мне как молодому специалисту, к счастью, я не могу выделить сразу. Однако еще до начала работы мне определенно не хватало сведений о том, как в действительности происходит обеспечение ИБ на предприятиях. Теория – теорией, но практику никто не отменял. Тем не менее это претензия к сотрудникам вузов.

Для меня как молодого специалиста очень важно постоянное обучение, развитие профессиональных навыков, но этого мне пока хватает с лихвой.

– Опишите общие впечатления от участия в III кейс-чемпионате. Что особенно запомнилось?

– Первое – это сами задания кейс-чемпионата, т.к. в этом году они были очень интересными, качественно проработанными и ориентированными на актуальные темы по ИБ.

Также запомнился новый конкурс капитанов. Единственное, что хотелось бы в нем поменять, так это убрать оттуда общеобразовательные вопросы и сделать больше на тему ИБ. Ну а в целом идея викторины отличная.

Общее впечатление, безусловно, очень позитивное. Я считаю, думаю, как и многие, количество таких мероприятий для студентов должно расти. Да, конечно, сейчас огромное количество различных CTF, но помимо умения взламывать кого-то, нужно уметь защищаться, да и в целом понимать, что такое бизнес по ИБ в России и не только.

Беседовал Владимир Лукин


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru