пятница, 24 сентября 2010 г.

Эх... чему у нас учат молодежь

Где та молодая шпана, что сотрет нас с лица земли....
Б.Б. Гребенщиков


Недавно мой коллега Евгений Царев в твиттере разместил ссылку на статью о том, что информационная безопасность сейчас одна из самых востребованных специальностей среди студентов. Это конечно здорово, но ....
По долгу службы, что называется, мне приходится собеседовать студентов, желающих устроиться по специальности. К сожалению степень их готовности не просто шокирует...а уже даже просто удручает. Возникает впечатление, что все что преподают этим ребятам это то, что такое ПЭМИН и как бороться с утечкой по техническим каналам. Они примерно даже знают как искать «жучков» и какой толщины должны быть стены в помещениях, где ведутся конфиденциальные переговоры, но только начинаешь с ними говорить о современных технологиях, о системах IDS/IPS, о сканерах уязвимостей или о чем-то более продвинутом, вроде систем корреляции логов (SIEM) и т.п..... в ответ тишина... И как мы с такими знаниями собираемся развивать инновации и создавать конкурентноспособную экономику? Да бог с ней с экономикой... кто банально будет отвечать за информационную безопасность в гос. структурах и коммерческих организациях через несколько лет ?... не знаю...
Понятно, что любого человека можно выучить в компании, особенно если человек тянется к знаниям. Но все же человек с высшим образованием должен уже (!) обладать серьезным багажом начальных знаний. И вот как-то обидно становится за нашу молодежь, ведь среди них есть немало талантливых, энергичных и творческих людей, а раскрыться у них возможности нет.... изучают архаизм и выходят из институтов совершенно «нулевыми»... Я понимаю, что на зарплату учителя высококлассный специалист по информационной безопасности не пойдет работать в институт, да и уровень его компетенции без практики очень быстро начнет падать. В этом смысле радуют инициативы Лаборатории Касперского по чтению специализированных курсов для студентов…. но это пока капля в море. Было бы здорово наверное, если бы таких волонтерских начинаний было побольше. Ведь у нас немало серьезных, компетентных экспертов в области информационной безопасности, которым безусловно есть чем поделиться с подрастающим поколением.

Update (02.2011) В развитие своих мыслей я решил запустить проект "Обратная связь". Буду по мере сил стараться исправить обозначенные проблемы.

воскресенье, 5 сентября 2010 г.

Безопасность платежных технологий и PCI DSS: интересные ссылки


Несколько полезных ссылок по тематике:

1) PCI Council объявил о подготовке новой редакции стандарта PCI DSS 2.0. Не смотря на то, что идет замена с 1.2 на 2.0 радикальных изменений стандарта не предвидится.Выход новой версии стандарта планируется в октябре 2010 г. Описание изменений здесь.

2) До 30 сентября (дедлайн объявленный VISA для мерчантов 1-го уровня и сервис-провайдеров) осталось меньше месяца. Понятно, что после этой даты никаких драконовских мер не ожидается, но то что VISA начнет действовать в России более активно — думаю факт. Описание требований можно найти на сайте VISA: для мерчантов здесь, для сервис-провайдеров здесь;

3) Для тех, кто использовал Qualys для ASV-сканирования внешних систем, есть важные новости в части изменений в требованиях по сканированию со стороны PCI Council

4) Интересная презентация о правильных и ошибочных подходах к реализации требований PCI DSS от Антона Чувакина

Ну и на сладкое небольшой прикол от PCI Council. Забавное видео о стандарте PCI DSS.