Пропущу вступление, вполне очевидно и так о чем будет этот пост. Тема стала такой “животрепещущей”, что каждый считает своим долгом высказать субъективную и уникальную – свою точку зрения.

Поддавшись воле толпы, напишу и сам. Не претендуя на идеологическую верность позиций, объективность и самое гланое – справедливость.

Итак, история повторяется. Хочется провести некую аналогию современной ИБ с не такой уж далекой физикой. На заре становления любой точной науки (точность ИБ оспорима, но считаю, что такое не очень уместное название ИБ – дается учению о методах поиска ошибок, их эксплуатации и противодействию им, а также их эксплуатации в программном/аппаратном обеспечении) возникает множество мук и терзаний ученых мужей, выливающихся в невиданные теории и эксперименты. Раньше был эфир, флюиды и прочие забытые термины, теперь СТО, кванты и кварки.

На заре становления, теоретическая и экспериментальная науки идут вместе, воплощаясь в руках и умах одних и тех же людей. Затем в силу каких-то объективных причин направления разделяются, люди концентрируются на одном направлении, пытаясь добиваться чего-то, двигать процесс, названный наукой.

Теперь что на местах – “ты всего лишь инженер, Говард” (с). Люди, фактически имеющие должности в отделах ЗИ и ИБ являются инженерами по взятой аналогии. Это совсем не мешает им двигать науку на рабочем месте как теоретики и эксприментаторы, но это НЕ то, за что они получают зарплату. Поэтому верно, считаю, писать в трудовых книжках: “инженер по защите информации”. Важная и почетная работа.

Законодательное регулирование – в этой отрасли без него никуда, но давайте не сгущать краски, у нас (России) еще не самый немецкий случай. По сути, что есть закон о защите перс. данных – аналогия техники безопасности, пожарных, санпидемстации, ТК. Это требования закона к области деятельности – обработке информации. Где связь между физиком, изучающим электромагнетизм и требованиям к укладке кабелей в короба? Законодатели консультируются с инженерами, все.

Все эти рассуждения упираются в одну очень болезненную тему – отсутствие образования по специальности. Нету ВУЗов, которые готовят экспериментаторов и теоретиков в области информационной безопасности (защиты информации, более точно). Нету и программ учебных курсов, которые могли бы достойно применяться, как и нету самого порядка – базовой классификации, той самой теории, которая так сейчас нужна. Классифицировать бы все векторы атак по областям – так еще бы десяток вектором стал очевиден, при вщгляде на общую картину свысока, – некому.

На прощание, попробую высказать основные, имхо, причины нападков со стороны экспериментаторов к теоретикам (бумажникам):

  • - занимаются не тем: вместо того, чтобы классифицировать и писать концепты, играют на чувствах молодой науки и разводят людей на свои ненужные услуги. А между тем, OWASP, WASC, CWE остро нуждаются в их помощи
  • - инженеры выдают себя за теоретиков
  • - демогоги выдают себя за инженеров и теоретиков
  • - продают ненужные услуги
  • - обсуждают законы и их интепретации
  • - задача инженеров, им эти требования соблюдать