Что такое информационная безопасность? 🤔

Очередная познавательная беседа с к.филос.н. Атамановым Г.А. 👨‍🏫

Таймкоды:
0:00 - Подведение итогов предыдущих бесед.
3:40 - Прагматическая наука.
5:30 - Научные публикации.
6:23 - Понятие "информационная безопасность" (ИБ).
9:30 - Что такое ИБ?
17:51 - Продовольственная безопасность.
25:46 - Виды воздействия информации на человека.
31:54 - Зачем информация необходима человеку?
34:34 - Свойства информации.
35:51 - Информационная коммуникация.
37:46 - Какой вред может причинить человеку информация?
1:02:46 - Опасность/безопасность.
1:05:03 - Информационная безопасность.
1:08:13 - Какой должна быть информация?

👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке 📕

Архив всех бесед в VK 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория? Зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

#подкаст #атаманов

Магнит для компании: как в 21 год получить 3 оффера одновременно 😳 🔥

Выступление Макара Ляхнова из Positive Technologies 👨‍💻 на GIS STUDENT DAY 2024 👨‍🎓

PS. в начале года записывал интервью с Макаром, оно доступно по ссылке 🎶

#студенту

Обновление схемы карьерных треков в кибербезопасности по результатам гастролей 🎤

Несколько дней гастролировал с концертами выступлениями на тему профессий в кибербезе 🚂 Собрал, что важно ✍️, живую обратную связь!

Как изменилась схема cybersecurity-roadmap.ru и ее PDF-версия?

1️⃣ обновил название, теперь это "Схема карьерных треков в результативной кибербезопасности";
2️⃣ роль преподавателя/тренера перестала быть самостоятельной и стала развитием деятельности экспертов (в результате деятельности специалист приобретает знания, которыми делится);
3️⃣ трек по безопасной разработке приложений разделил на AppSec и DevSecOps.

Напоминаю, что схема интерактивная: с помощью слоев можно посмотреть на тренды, области компетенций или отобразить вариант схемы с начальными ролями ⚡️

#SOCForum

Обучение студентов инфобезу/кибербезу через настольные игры 🎲

Мне нравятся трансформационные игры с настоящим фасилитатором 💭 Подобные игры позволяют лучше понять себя, посмотреть иначе на окружающий мир 🗺

Несколько раз принимал в них участие. В ходе игры участник проживает различные роли, проигрывает сценарии жизни и попадает в неожиданные ситуации 🍿

🔙 А не замахнуться ли нам на Вильяма, понимаете ли, нашего Шекспира? 🔜 🚘

А что, если нам перенести эту идею на инфобез/кибербез и разработать игру, формирующую у студентов "мышление результативного безопасника"? 🤔

Ранее я уже писал про учебный курс "Мышление хакера" (Thinking Security, Think Like a Hacker) и "состязательное мышление" (Introduction to Adversarial Thinking for Cybersecurity) безопасника 💻

Игру, например, можно проводить в малых группах, растянуть во времени, как фильме "Джуманджи" 1995 года 🦁

Напишите в комментариях, если идея актуальная и интересная ✍️ Подумаем над реализацией вместе 👷

#идея #игра

ИИ-помощник от Positive Technologies 🤖

Мы разработали ИИ-помощника для обучения кибербезопасности 🥷

Сейчас наш чат-бот «Алекс»:

1️⃣отвечает на вопросы о продуктах Positive Technologies;
2️⃣ориентирует в том, как устроен процесс обучения;
3️⃣подбирает нужные курсы и сертификации, предлагая ссылки на соответствующие материалы.

Пока это MVP, но в перспективе мы планируем создать на его основе гибкое и масштабируемое решение с интегрированным генеративным ИИ. В чат-боте появится функционал, который позволит преподавателям разрабатывать и загружать контент, а менеджерам (заказчикам) ставить задачи и собирать аналитику по обучению.

Ключевая особенность «Алекса» в том, что вместо разрозненных решений для каждой целевой группы мы предлагаем единый интерфейс, который объединит потребности всех аудиторий. Это сократит затраты на разработку и поддержку учебных систем, обеспечит гибкость и персонализацию обучения.

Детально про проект Андрей Карлович рассказал в статье ✍️

#бот #PositiveEducation

Обзор образовательных игр про кибербез 🎲

Подготовил небольшой обзор игр в области кибербеза с различными механиками 🎮

#игра

Образ идеальной конференции про кибербез образование 🤔

Перечислю, какие, на мой взгляд, критерии у хорошей образовательной конференции 👨‍🏫

1️⃣ Наличие онлайн-трансляции и доступ к материалам после ее проведения (записи выступлений и презентации спикеров). В современном мире это уже считается нормой, в ином случае такая конференция превращается в закрытый клуб по интересам.
2️⃣ Разделение секций по целевой аудитории:
— на открытии конференции присутствуют представители регуляторов, компаний, зав. кафедрами, деканы, преподаватели, аспиранты (про цели, задачи, куда идем и зачем);
— отдельная секция для зав. кафедрами, деканов (разговор про учебные планы и кадровый дефицит в вузах, формирование новых ДПО, совместные проекты);
— отдельная секция для преподавателей кибербеза (методика преподавания, обмен практиками, повышение квалификации для преподавателей);
— научная секция (передовые исследовательские темы, выступают в основном аспиранты);
— отдельная секция для компаний, которые продают продукты в вузы и тех, кто хочет послушать спонсоров (рекламные доклады).
3️⃣ Опционально: электронная публикация итогов конференции, резолюция (можно заменить презентациями).
4️⃣ Наличие онлайн-канала коммуникации во время и после проведения конференции.
5️⃣ Отсутствие пленарных дискуссий. Считаю, что все "пленарки" пора заменить на доклады с понятными тезисами.
6️⃣ Чуть не упустил из виду. Наличие сайта конференции или постоянной страницы, где собраны все материалы (программа конференции).

Согласны? 🤔

#конференции

Примите участие во всероссийских соревнованиях белых хакеров в формате CTF от команды Red Cadets! 🚀

☎️ Red Cadets, в лице кафедры систем сбора и обработки информации Военно-космической академии имени А.Ф. Можайского, снова на связи!

Red Cadets приглашает всех учащихся довузовских образовательных учреждений окунуться в атмосферу настоящего хакерского противостояния в формате CTF!

📅 НАЧАЛО СОРЕВНОВАНИЙ: 17:00 23 ноября 2024 года
⏱️ ПРОДОЛЖИТЕЛЬНОСТЬ: 24 часа
📍 ОНЛАЙН-ПЛАТФОРМА СОРЕВНОВАНИЙ: vkactf.ru

💻 Регистрируйтесь по ссылке vkactf.ru, приглашайте всех своих друзей, товарищей, знакомых, знакомых знакомых и открывайте мир удивительных задач по инфобезу!

Победителей и призеров соревнований ждут подарки от Федерации спортивного программирования России 🥳

Соревнования включены в Единый Календарный план Минспорта России, а это значит, что победителям и призерам имеется возможность присвоения спортивных разрядов по виду спорта «Спортивное программирование» 🔥

#VKACTF_kids

Почему мне не нравится ФГОС по ИБ? 📕

Я понял, чем мне так не нравится наш Федеральный государственный образовательный стандарт (ФГОС) по ИБ и все последующие его редакции 💡

Сразу скажу: его чрезмерной специализацией.

Когда я работал в приемной комиссии вуза, то приходилось объяснять абитуриентам разницу между ИБАС и КБ 🤷

Вопросы, которые ставили меня в тупик:
— Кем пойдет работать специалист по безопасности открытых информационных систем?
— Чем отличается анализ безопасности информационных систем на ИБАС от анализа безопасности компьютерных систем на КБ?

Проект ФГОС 4 добавляет к ИБТКС, ИБАС, ИАСБ и ОТЗИ перечень специализаций (см. рисунок). Получается, что студент с первого курса учится узкой специализации? Мы не даем студентам шанса выбрать специализацию на основе их интересов? 🤷

Как показывает анализ направлений, знания и навыки в ИБ/кибербезе тесно переплетены 🕸

Возьмем столбец "Кибербезопасность", разве анализ безопасности ИТ не является обязательной компетенцией специалиста по ИБ/кибербезу? 🤷

Считаю ошибочным выделять кибербез в отдельное направление. Например, в ИБАС присутствует специализация "Безопасность киберфизических систем", которая, очевидно, относится к кибербезу.

Т.е. согласно новому проекту существует кибербез и не-кибербез? Инфобез? 🤯

На мой взгляд, путаница происходит, т.к. во ФГОС не разделяются кибербез и инфобез. Мы ранее подробно разбирали понятие инфобез и немного затронули кибербез, которые зафиксированы в терминосистеме 📕

Выбор вузом специализации, например, "Безопасность технологий больших данных" говорит о том, что не надо преподавать "Безопасность систем искусственного интеллекта", ведь это другое направление, согласно новому проекту? Современные системы ИИ построены как раз на больших данных. Зачем производить подобное разделение? В ИБ-вузе есть классический курс по ИИ, почему не добавить туда элементы ИБ? 🤷

Я провел поверхностный анализ проекта ФГОС, но вопросов по нему остается еще много 🤔

Мне видится, что необходимо по ИБ/кибербезу преподавать прочную инженерную основу (об этом тут), дальше погружать в специфику (об этом тут) по значимым для страны технологиям. Сейчас получается, что выпускники по ИБ/кибербезу в разных вузах имеют разную базу, т.к. ОТЗИ, например, не предполагает погружение в архитектуру ИС 🤷

Основы кибербеза необходимо читать всем ИБ-студентам, даже для направления "бумажной" безопасности ✍️

Редкий вуз имеет сейчас возможность действительно обучить узкой специализации (сложности с преподавателями-практиками, материально-технической базой и т.д.), да и не надо перекладывать на вузы такую ответственность. Решением могут быть различные схемы взаимодействия с вендорами и интеграторами. Но база — она за вузом, а сейчас кажется, будто в погоне за трендами мы забываем про фундамент 🤷 👷

#фгос

Коллеги, поздравляю вас с Днем преподавателя высшей школы 🥳

PS. Фото с заседания Студенческого Научного Общества, где рассказываю про академическое письмо (по учебнику И. Б. Короткиной) 👨‍🏫

Минцифры разрабатывает новые критерии для крупных IТ-компаний по поддержке вузов 🤔

Вчера в РБК вышла об этом новость.

По данным "Коммерсанта", сейчас обсуждаются три критерия:
1️⃣ направление сотрудников в качестве преподавателей в вузы;
2️⃣ организация стажировок в компаниях;
3️⃣ техническое оснащение вузов.

Эти требования хотят ввести для IТ-компаний с выручкой от 1 млрд руб.

Что я об этом думаю?

Крупные компании из-за кадрового голода на рынке давно работают с вузами. Формы взаимодействия разные: зависят от бизнеса (вендор, интегратор, дистрибьютор) и целей компании.

Минцифры, с одной стороны, предлагает сделать эту деятельность прозрачной, с другой - обязывает компании системно подходить к этой активности для увеличения качества подготовки IТ-специалистов.

Преподаватели-эксперты из IТ-компаний

Многие эксперты из IТ-компаний уже преподают в вузах, но в свободное от основной работы время (вечерами, в выходные, в свой отпуск). Про их мотивацию писал ранее.

Правда, это занимает много времени. На подготовку одной лекции может уходить от 8 часов, затем, если занятие очное, то от 4 до 8 часов тратится на переезд и проведение пар. То есть подготовка и проведение 1-2 занятий очно в вузе занимает два рабочих дня 😱

Получается, что если эту деятельность делать прозрачной, то эксперта придется вынимать из рабочих процессов на два дня, что нереально сделать в современных условиях.

Отдельная роль преподавателя в IT-компании

Подобные критерии, на мой взгляд, могут подтолкнуть компании к появлению особой роли преподавателя. Это специалисты, которые работают в IT-компании, но большая часть их рабочего времени направлена на преподавание в вузах.

Такая роль позволяет разрабатывать курсы, общаясь с экспертами внутри компании, и транслировать актуальные знания студентам. О современной роли преподавателя я писал тут.

Продолжу следить за развитием событий ✍️

#Минцифры

🤓 Может ли программист разрабатывать миллиардные проекты и быть владельцем футбольного клуба

Да, если это Денис Кораблев, идейный вдохновитель, создатель и, можно сказать, отец PT NGFW — российского межсетевого экрана нового поколения.

В новом выпуске «Думай как» расспросили Дениса, как из айтишника трансформироваться в айтишника-предпринимателя, в чем секрет создания прорывных продуктов, и где он берет лишние 10 часов в сутках, чтобы все успевать (в том числе улучшать российский футбол).

👀 Смотреть всем
👀 Вообще всем
👀 Мы не шутим

P. S. Заодно проверите, кто был прав насчет выбранной обложки.

@PositiveHackMedia

Почему подготовка кибербезопасников — тупиковый путь? (интервью вице-президента по кибербезопасности Сбера) 😱

Сергей Лебедь затронул острые вопросы подготовки кадров в кибербезе 🤔

Приведу несколько ярких цитат из интервью:

🔙 Сегодня специалист по кибербезопасности — это прежде всего эксперт в ИT со своей узкопрофильной специализацией в кибербезопасности. Причём иногда эта специализация выходит за рамки сферы кибербезопасности: финансисты, разработчики моделей искусственного интеллекта, математики, инженеры данных🔜

✍️ С этим я согласен, в основе кибербеза лежит ИТ-фундамент. Выстраивается иерархия: ИТ —> кибербез —> специализация.

🔙 Мы поставили себе амбициозную задачу — создать эталонные учебно-методические материалы по предметным областям кибербезопасности на основе интеграции академических знаний с отраслевым экспертным опытом рынка и сделать их доступными для всего профессионального сообщества.

Для решения этой задачи в 2023 году Сбер совместно с одним из ведущих вузов страны открыл магистерскую программу «Кибербезопасность». Мы проработали содержание каждой дисциплины, в том числе и с учётом нашего практического опыта, создали карты знаний в виде иерархических структур и рассчитывали, что в итоге получим качественный методический материал, которым можно поделиться с другими вузами. Но столкнулись с противостоянием новой и старой школы. К сожалению, от развития совместного проекта, на которое мы рассчитывали, пришлось отказаться. Это крайне важный вопрос, поэтому мы его заостряем, публично акцентируем на нём внимание и продолжаем искать партнёров🔜

✍️ По всей видимости, речь идет про магистерскую программу Сбера на факультете ВМК МГУ. Интересно, о какой "новой" и "старой" школе говорит Сергей? Что помешало сделать доступными УМК по кибербезу? 🤔

🔙Мы видим, что в большинстве вузов сильные преподаватели приходят на кафедры с одной целью — готовить молодых специалистов для своих компаний или проектов. Проблема качества, мотивации преподавательского состава вузов, по крайней мере в сфере кибербезопасности, — одна из ключевых в задаче подготовки выпускников. Проблема подготовки кадров для кибербезопасности много лет остаётся сложной и, к сожалению, имеет тренд на обострение. Видимо, поэтому ряд экспертов полагают, что подготовка кибербезопасников — тупиковый путь, поэтому нужно готовить специалистов в ИТ после вуза и проводить дообучение в одном или нескольких направлениях кибербезопасности🔜

✍️ Про мотивацию преподавателей я пишу часто, проблема существует. А вот про отказ от подготовки "чистых кибербезников" стоит поговорить отдельно.

Не отрицаю, что из выпускников ИТ-кафедр возможно подготовить отличных специалистов по кибербезу. Доучивать их можно в (корпоративной) магистратуре под определенные задачи. Таким образом, кибербез становится веткой внутри ИТ 🤔

С другой стороны, схема развития карьеры в кибербезе показывает, что покрыть все специальности магистратурой не получится 📕

Современные ИТ-кафедры по остаточному принципу преподают ИБ/кибербез, поэтому у выпускников складывается искаженное представление о кибербезе и задачах, которые там решаются.

На мой взгляд, процесс преподавания ИТ-дисциплин для программистов и специалистов по кибербезу различается. Об этом писал в заметке Творческий подход к преподаванию языка ассемблера.

А вы согласны с тезисами Сергея? 🤔

#сбер

Модель магистерской программы "Кибербезопасность" на факультете ВМК МГУ

Решил я внимательнее посмотреть на магистерскую программу Сбера на факультете ВМК МГУ. Тем более, что ее научный руководитель Сухомлин В.А., один из авторов Модели цифровых навыков кибербезопасности (на 300 страниц 🤯), в сокращенном виде она тут ✍️

Сразу скажу, что это магистратура по направлению подготовки 01.04.02 "Прикладная математика и информатика" при том, что в МГУ давно действует кафедра по ИБ 🥷

Научный руководитель магистратуры рассказывает про концепцию в отдельной статье 👨‍🏫

За основу магистратуры взяли проект CyBoK (The Cyber Security Body of Knowledge, о нем я писал тут) и куррикулум дисциплины "Кибербезопасность".

Дисциплины магистратуры сопоставили категориям из CyBoK (см. Рисунок):
— Человеческие, организационные и нормативные аспекты (Human, Organisational, and Regulatory Aspects),
— Атаки и Защита (Attacks and Defences),
— Безопасность систем (Systems Security),
— Безопасность программного обеспечения и платформ (Software and Platform Security),
— Безопасность инфраструктуры (Infrastructure Security).

С точки зрения кибербезопасности понятный состав дисциплин, но выпускники получат дипломы магистров прикладной математики, поэтому странно, что прикладной математики в программе практически нет 🤔

#мгу

Образ магистратуры по кибербезу 😴

Продолжим разговор про современную магистратуру в ИБ/кибербезе.

Представим идеальный образ такой магистратуры 🤔

1️⃣ Запуск магистратуры в вузе обусловлен определенным запросом со стороны организации (государственной или коммерческой). Таким образом, у магистратуры появляется понятная цель. Учебный план выстраивается с учетом компетенций выпускника 💪

Организация-заказчик выступает в роли соавтора и рецензента образовательной программы. Возникает синергетический эффект 😁

2️⃣ В магистратуре учащиеся под руководством преподавателей занимаются научными исследованиями в области кибербеза: пишут статьи, выступают на профильных конференциях ✍️

Некоторые выпускники магистратуры планируют продолжить свой карьерный путь в аспирантуре 🤓

3️⃣ Производственная практика учащихся проходит в организации и/или в научной лаборатории 👩‍🔬

4️⃣ Преподаватели магистратуры работают в отрасли и/или занимаются научными исследованиями в ИБ/кибербезе 👨‍💻

Это важный критерий, т.к. в вузе считается нормальным, когда доцент способен за год подготовить и затем провести любую дисциплину, и не важно, что раньше он никогда не занимался этой темой 🤓

🙂 На мой взгляд, если исключить перечисленные пункты, то магистратура вырождается в бакалавриат/специалитет, который проводится теми же преподавателями, но под другой вывеской 🤦‍♂️

Знаю множество примеров, когда магистранты повторно сдавали свои бакалаврские работы без внесения в них изменений 😫

#магистратура

Важные вопросы о карьере в ИБ/кибербезе 🤔

Выступление Евгения Баклушина, автора канала BESSEC ✍️

01:28 - Зачем этот доклад?
2:25 - Куда идти работать?
3:21 - Особенности работы в Заказчике
5:45 - Особенности работы в Интеграторе
7:51 - Особенности работы в Вендоре
10:29 - Особенности работы в Правительстве
12:35 - Особенности работы в Образовании
15:29 - Битва за кадры
18:56 - Можно ли без ИБ-образования?
20:22 - Суперспособности ИБ-специалиста
27:00 - Смыслы и страхи

#кадры_в_ИБ

Штатная численность специалистов по защите информации (по сведению ФСТЭК РФ)

Изучаю презентацию Анатолия Марченко (ФСТЭК России) к докладу о кадровом обеспечении ИБ.

Посмотрим на последний столбик, где обозначена штатная численность специалистов по ЗИ в Лицензиатах ФСТЭК РФ (9980). Количество лицензиатов можно найти в реестре (3368).

Простые расчеты показывают, что на одного лицензиата приходится в среднем три штатных специалиста по защите информации. Как минимум, да... но в реальности цифры несколько больше.

Предположу, что КЦП на бюджетные места в вузах формируются, исходя из этих минимальных показателей 🤔

#фстэк_рф

Кем я вырасту, когда стану специалистом по ИБ/кибербезу? 🤔

Выступление Татьяны Кошелевой, старшего аналитика Аналитического центра УЦСБ.

01:44 - Вступление
03:33 - План выступления
04:09 - Траектория будущего специалиста
13:37 - Направления в ИБ/кибербезе
18:02 - Где реализовать себя?
20:35 - Как добраться до вершины?
21:37 - Особенность сферы ИБ/кибербеза
23:52 - Мягкие навыки специалиста
26:30 - Чему нас не учат (на самом деле учат) в вузе
28:15 - Горизонтальный рост
29:53 - С чего начать карьеру?

#кадры_в_ИБ #УЦСБ