Главная » Безопасность » Защита5 » Подбор кадров — теория или практика

Подбор кадров — теория или практика

При всех положительных свойствах сертификатов хотелось бы предостеречь от слепого доверия к их наличию. К сожалению, авторам известны случаи, когда экзамены на право обладания самыми знаменитыми сертификатами за деньги сдавали специалисты более высокого уровня, чем потенциальные владельцы. Кроме того, и честные владельцы именитых сертификатов не всегда могли показать серьезного уровня знаний в решении практических, повседневных проблем, например, системной поддержки локальной компьютерной сети.

Таким образом, можно утверждать, что наличие у специалиста сертификата означает, что он, как минимум, один раз разобрался в теоретических аспектах темы настолько, что смог сдать указанный экзамен. Это дает возможность предположить, что при наличии необходимой литературы, времени и технической базы он сможет подойти к решению практического вопроса лучше, чем другой неподготовленный специалист. Однако подобные теоретические знания отличаются от практической деятельности, которая, например, включает способность понять сущность проблемы при общении с неквалифицированным пользователем, который с трудом может объяснить симптомы ситуации.

Иначе говоря, достаточным критерием оценки может служить только наличие двух факторов:

1. Сертификата, как подтверждения теоретических знаний в данной области.
2. Документа о практической работе в должности, соответствующей интересующей области.

В целом, в этой главе очерчена обширная область знаний, необходимая команде по информационной безопасности для успешного выполнения своих обязанностей. В последующих частях книги будет предпринята попытка раскрыть некоторые наиболее важные вопросы. Кроме того, дополнительные сведения об обучении в области информационной безопасности можно получить из документа «Information Technology Security Training Requirements: A Role- and Performance-Based Model», NIST Special Publication 800-16.

Контроль процесса подбора кадров

Если вас не очень интересуют все внутренние тонкости «кухни» обеспечения информационной безопасности, однако, вы хотите быть уверенными, что она тем не менее находится на должном уровне (например, вы — внешний аудитор для данной организации), можно порекомендовать следующую последовательность действий. Во-первых, вам следует ознакомиться с письменными документами по информационной безопасности, которые присутствуют в организации. Общий совет может быть таким.

• Ознакомьтесь со всеми имеющимися документами с точки зрения обычного пользователя, умеющего обращаться с графическим интерфейсом своего десктопа и знающего одно-два приложения типа текстового редактора или интернет-броузера. Оцените, какие плюсы вам принесло, как пользователю, ознакомление с этими документами.
• Если позволяет квалификация, ознакомьтесь с документами с точки зрения продвинутого системного администратора и оцените, как вы можете использовать пробелы и ошибки в этих документах для своих целей.

Во-вторых, ознакомьтесь с уровнем знаний специалистов информационной безопасности (или хотя бы руководителя службы), изучив соответствующие сертификаты (с учетом их срока действия), а также историю прохождения обучения и перспективный план.

Далее, вам необходимо узнать, какие операционные системы используются в организации и какие основные приложения применяются для критически значимых производственных направлений. После этого вам необходимо получить (по возможности независимо от специалистов самой организации) проверочные анкеты по безопасности (англ. security checklist) для каждой операционной системы и приложения (большинство наиболее свежих вариантов этих анкет всегда доступно в Интернете).

С помощью специалистов организации или, если имеется возможность, без них убедитесь, что соответствующие пункты анкет для системы исполнены. Если же нет — узнайте, почему так произошло.

Самые каверзные контролеры могут зайти в Интернет на сайты с последними известными уязвимостями в системах, прочитать их описания и узнать об имеющихся заплатках (англ. fix или patch) на эти уязвимости. При проверке систем необходимо проверить, были ли установлены на нее заплатки в соответствии с новыми обнаруженными уязвимостями (даже лучшие интернет казино онлайн не могут быть полностью защишены от взлома).

Есть и другой путь — предпринять (возможно, с помощью стороннего специалиста) тестовое вторжение в информационное пространство организации. Но это сложный способ не только технически (то есть то, что вы не смогли проникнуть внутрь, еще не означает, что уровень защиты хорош — быть может, просто квалификация взломщика невысока), но и с точки зрения законности (если это действительно тестовое, а не реальное вторжение, то необходимо заручиться согласием самой организации, причем в письменной форме с указанием способов разрешения всех возможных конфликтов в этой связи).

Оставить комментарий