Рекламный блок.

Меня достал крайне низкий уровень подготовки выпускников вузов. Особенно коммерческих. Даже здесь, в Киеве. А что вы думаете по этому поводу? Как обстоят дела у вас?
Объясняю. Год назад (я был еще нач. отдела и зам нач. службы безопасности в крупной фирме) приходит ко мне девочка. Выпускница престижного вуза. Специальность "Защита информации" Красный диплом. А копнул глубже... И смог взять только оператором криптооборудования. И все! Ужас!

VladB
Мне всегда казалось, что исскуству программирования, администрирования, "Защите информации" и прочим IT технологиям научить невозможно, тут или есть желание и талант или их нет. Хотя скорее всего это относится ко всем специальностям. Что касается общего уровня выпускников, то удивляться не приходится, вузов во сколько раз больше стало ? А количество людей желающих действительно получить знания не возросло, вот и результат. А то, что он достал... не знаю, по моему при приеме на работу уже давно на образование не смотрят.

slavad
Ты не прав. Смотрят и очень сильно. Смотрят резюме. Образование, сертификацию. А потом собеседование. Т.е. вначале ты проходишь собеседование в отделе кадров (фирме, помогающей в трудоустройстве), там смотрят на документы. Потом, если документы подходят - ты переходишь к собеседованию с будущим руководством. Очень может быть, что этап собеседования с руководством не наступит никогда.
Что же касается что научить этому нельзя. Ты не прав. Можно! Но если таланта нет - то получишь просто ремесленника. Если есть талант, но никто ничему не учил, получишь что-то типа человека, который знает все по верхам. И неизвестно что хуже

А по моему в вузе просто не реально обучить крутого специалиста... можно дать общие знания... что бы знал где что искать...
И без практики стать специалистом нереально. А какая практика в вузе я даже не представляю...
А получить практику не устроившись на работу тоже как бы не реально...
И на работу без опыта работы тоже не берут... вот и откуда взятся специалистам??

Гэс
Проблема в том, что в вузе не обучают общим знаниям. А главное не учат учиться! Нельзя обучить крутого практика если он ничего не знает кроме того, какие клавиши и когда нажимать! Это - ремесленник!
Я это уже прошел. И понял.
Без практики нельзя стать спецом. Это верно. Но! Для того чтобы иметь практику - нужно что-то уметь.
У нас в фирме решается проблема набора персонала следующим образом. Любой (подчеркиваю, любой) студент может прислать свое резюме на адрес нашей академии. Там рассматривают. Если подходит - берут стажером. Это означает что стажер учится за счет конторы на любых курсах, которые мы ведем (Microsoft, Symantec, HP, Unix и т.д.) Курсы естественно сертифицированы. Стажер получает 50$ в месяц. Через год он может стать у нас инженером если покажет себя не дураком. Естественно, з/п увеличится. И дальше опять идет отбор.
И так делают многие крупные фирмы.
Причем читаем и чисто теоретические курсы. Т.е. просто курсы по технологиям.
Поймите правильно, это не реклама. Это совет тем, кто может себе такое позволить. А то приходят такие выпускники с красными дипломами, которых не то, что на работу, а просто поговорить противно!
Ну а практику господа студенты нужно делать себе самим.

slavad
хороший диплом принимают во внимание, по крайней мере в программистиких фирмах Симферополя.
Гэс
честно говоря не знаю, как обстоит практика с системным администрированием и защитой информации, но с программированием по-моему неплохо, если собираешься работать программистом - пиши программы, вот и вся практика
VladB
честно говоря не знаю, чему учат людей на специальности защита информации,
а вот насчет программирования думаю, что в современном мире
не математиков нужно учить программированию (как делаю сейчас большинство ВУЗ-ов, специальность информатика (а ведь это далеко не одно и то же, что программирование) есть только на математических факультетах), а программистов нужно учить математике.
Как и чему учить специалистов системных администраторов - ума не приложу

м..да... интересно у нас в Симферополе есть такие фирмы, которые могли бы себе такое позволить...?? я не уверен..
тут фирма может позволить послать на курсы повышения квалификации сотрудников которые работают год и больше... но все равно как то со скрипом все это происходит...

alexk
Чему учат на защите - если интересно - могу рассказать.
Как готовить сисадминов, думаю, тут меня поправить могут многие, т.к. я уже давно не админ
Гэс
Как посылают на курсы повышения квалификации
Есть два варианта:
1. Отработка в течение определенного времени после курсов (т.е. уходишь раньше - плати)
2. Либо как у нас. Ты ОБЯЗАН на год вперед составить план обучения. Когда и куда хочешь ехать. Курсы которые читают у нас ты проходишь бесплатно. А фирма держит тебя кредитами (например на жилье, машину и т.д.), высокой оплатой, да и если учесть, что на курсы у нас ездят по всему миру, то уходить как-то не тянет. Например у меня на этот год запланированы каждые 2 месяца поездки в Москву и в Питер + обучение у нас.
Но и требуют соответственно. А учиться посылают так часто, т.к. мы занимаемся консалтингом, а клиенты спрашивают сертификаты
PSНо ведь в теме шла речь о вузовском образовании, а не послевузовском обучении

А я хотел сказать о том, что у нас сотрудников которые уже работают не особо то куда нибудь посылают. Не говоря уже о студенте которого надо учить, для того чтобы потом взять на работу!
Есть ли у нас фирмы которые берут на стажировку студентов?? (я не уверен)

Гэс

мы можем... и хотим, хотим учить себе людей (причем вкладывать в это вполне реальные деньги, так как собственных курсов не имеем), естественно - это будут взаимные обязателства, НО - мы и зарплату при этом вполне сносную предлагаем, особенно для выпускников без стажа (их мы тоже готовы смотреть)...
кстати, раз пошла такая пьянка...
Посмотрим человека, желательно знание(практичское) хотя бы одной из открытых систем (желательно Unix, FreeBSD), протокол РРР, IP, хотя бы начальное... Научим Cisco (не сами естессно). Для талантливых, но без опыта - 200 у.е., для талантливых и опытных - можно разговаривать.... и нужно разговаривать..
Справочно - на обучение тратим порядка 20000 грн.

Предлагайте мне кандидатуры своих знакомых, молодых и не очень... Мы очень ждем.

ms.Parker
Ну вот, а говорили никто не учит! Я рад (искренне) за вас!
PS А курсы Cisco есть у нас. Мы их (по-моему) золотой партнер

PPS И все же. Вы довольны как и чему вас учат (учили) в вузах?

VladB

Скажем так... замечено - кто хотел выучиться - тот у нас (ТНУ им. Вернадкого) выучился.. и довольно неплохо, НО только тот кто хотел.
Кто не хотел - учи не учи, диктуй не диктуй... это без толку....
Самообразование - это именно в вузовские годы - святая весчь, кому интересно было учиться - те сейчас на место в жизни не очень сильно жалуются... Я имею ввиду свое место, ибо если учился ради мамы-папы, то они и место найдут.
Я не скрою - мне устроиться на работу помогали, но дальше - только мои навыки и умения. Пока они устраивают всех, кроме меня Мне по прежнему мало)

ms.Parker
Ну насчет мало - я старше вас, вроде бы за плечами штук 10-15 сертификатов, аспирантура, штук 15-20 статей по профилю, а мало! Учусь до сих пор. Так что поздравляю! Это здоровое чувство!

Ну в приципе, лично я, не очень... есть такое...
но у меня вообще интересная специальность - "специалист по радиофизике"
(так в дипломе и написанно)
ну вот и кем я должен работать?? Если бы была работа где я бы использовал, то чему меня учили, то может быть и был бы доволен своим образованием.
А так... незнаю.. все что я использую в работе, это только опыт и знания приобретенные в ходе работы...

Полностью с этим согласен!

Гэс
Н-да. В Украине не очень-то востребованы спецы твоего профиля, а учиться одному а работать по другому - тяжело и неблагодарно!
Единственно, чем попробую утешить - я заканчивал как специалист по разработке ЭВМ, а сейчас консультант по защите информации

VladB
интересно, перешли если не трудно на alexk(dot)softwarium(dot)net
думаю как готовить в унивеситете сисадминов сами системные администраторы не ответят - не было у нас просто еще таких специальностей в ВУЗ-ах

alexk
Напиши письмо мне на wladkerch@mail.ru
Добавлено в [mergetime]1105017801[/mergetime]
Просто у меня письмо возвратилось обратно с рабочего адреса

так выложил бы уже сюда. я думаю многим будет интересно

Возвращаясь к теме:

Рассмотрим идеальную ситуацию для ничем не выдающегося ВУЗа. Идеальность состоит:
1. Экзамены сдаются не за деньги. (сейчас это редкость) 2. Квалификация преподователя достаточна для преподования.
Так вот даже в такой ситуации, студент не получает современных знаний в таких областях как компьютерные технологии, полиграфия.
Приведу конкретный пример, захотелось мне второе высшше,

Что выложил? Содержание будущей книги? Могу выложить ее оглавление. Всю естественно - нет.
А по поводу чему учить будущих сисадминов:
1. Основы сетей.
2.Понятие о протоколах
3.понятие о железе
4. Проводах
и т.д. Полностью писать?

Содержание книги:

Тема 1: Актуальность проблемы обеспечения безопасности информационных технологий
Основные причины обострения проблемы обеспечения безопасности информационных технологий
Тема 2: Основные понятия информационной безопасности
Информация и информационные отношения. Субъекты информационных отношений, их безопасность
Цель защиты АС и циркулирующей в ней информации
Тема 2: Правовые и организационные основы защиты информации
Что такое законодательный уровень информационной безопасности и почему он важен
Обзор украинского законодательства в области информационной безопасности
Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
Обзор зарубежного законодательства в области информационной безопасности
Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт
Основные понятия
Механизмы безопасности
Классы безопасности
Информационная безопасность распределенных систем. Рекомендации X.800
Сетевые сервисы безопасности
Сетевые механизмы безопасности
Администрирование средств безопасности
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий"
Основные понятия
Функциональные требования
Требования доверия безопасности
Гармонизированные критерии Европейских стран
Интерпретация "Оранжевой книги" для сетевых конфигураций
Руководящие документы Гостехкомиссии России
Тема 3:Угрозы информационной безопасности в АС
Особенности современных АС как объекта защиты
Уязвимость основных структурно-функциональных элементов распределенных АС
Угрозы безопасности информации, АС и субъектов информационных отношений
Источники угроз безопасности
Классификация угроз безопасности
Основные непреднамеренные искусственные угрозы
Основные преднамеренные искусственные угрозы
Классификация каналов проникновения в систему и утечки информации
Неформальная модель нарушителя
Оценка и управление рисками
Методики управления рисками
Тема 4: Виды мер и основные принципы обеспечения информационной безопасности
Виды мер противодействия угрозам безопасности
Правовые (законодательные)
Морально-этические
Технологические
Организационные
Меры физической защиты
Технические
Достоинства и недостатки различных видов мер защиты
Законодательные и морально-этические меры
Организационные меры
Физические и технические средства защиты
Основные принципы построения системы Защиты ресурсов АС
Законность
Системность
Комплексность
Непрерывность защиты
Своевременность
Преемственность и совершенствование
Разделение функций
Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Персональная ответственность
Минимизация полномочий
Взаимодействие и сотрудничество
Гибкость системы защиты
Открытость алгоритмов и механизмов защиты
Простота применения средств защиты
Научная обоснованность и техническая реализуемость
Специализация и профессионализм
Взаимодействие и координация
Обязательность контроля
Тема 5: Основные защитные механизмы, используемые в СЗИ
Основные механизмы защиты информационных систем
Идентификация и аутентификация пользователей
Разграничение доступа зарегистрированных пользователей к ресурсам АС
Списки управления доступом к объекту
Списки полномочий субъектов
Атрибутные схемы
Полномочное управление доступом
Регистрация и оперативное оповещение о событиях безопасности
Криптографические методы защиты информации
Криптография с симметричными ключами
Криптография с открытыми ключами
Два важных свойства криптографии с открытыми ключами
Криптография с открытыми ключами.
Шифрование
Формирование ЭЦП с хэшированием
Комбинированный метод
Доверие к открытому ключу и цифровые сертификаты
Контроль целостности программных и информационных ресурсов
Защита периметра компьютерных сетей
Управление механизмами защиты
Выводы
Тема 6: Организационная структура системы обеспечения информационной безопасности
Цели создания системы обеспечения информационной безопасности
Регламентация действий пользователей и обслуживающего персонала АС
Понятие технологии обеспечения информационной безопасности
Политика безопасности организации
Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
Разовые мероприятия
Периодически проводимые мероприятия
Мероприятия, проводимые по необходимости
Постоянно проводимые мероприятия
Распределение функций по ОИБ
Служба безопасности (отдел защиты информации)
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
Управление автоматизации (фонд алгоритмов и программ - ФАП)
Система организационно-распорядительных документов по организации комплексной системы защиты информации
Тема 7: Обязанности конечных пользователей и ответственных за ОИБ в подразделениях
Общие обязанности сотрудников по обеспечению информационной безопасности при работе с ресурсами АС
Обязанности ответственного за обеспечение безопасности информации в подразделении
Администратора информационной безопасности обязан:
Администратор информационной безопасности имеет право:
Порядок работы с носителями ключевой информации
Обязанности исполнителя
Действия при компрометации ключей
Права исполнителя
Ответственность за нарушения
Тема 8: Инструкции по организации парольной и антивирусной защиты
Инструкция по организации парольной защиты
Инструкция по организации антивирусной защиты
Применение средств антивирусного контроля
Действия при обнаружении вирусов
Ответственность
Тема 9: Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей АС
Правила именования пользователей
Процедура авторизации сотрудников
Тема 10: Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств АС
Обеспечение и контроль физической целостности и неизменности конфигурации аппаратных ресурсов АС
Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС
Процедура внесения изменений в конфигурацию аппаратных и программных средств защищенных серверов и рабочих станций
Экстренная модификация (обстоятельства форс-мажор)
Тема 11: Основные задачи подразделения обеспечения информационной безопасности
Организационная структура, основные функции службы компьютерной безопасности
Тема 12: Определение требований к защите ресурсов
Определение требований к защищенности информации
Категорирование Защищаемых ресурсов
Категории защищаемой информации
Категории конфиденциальности защищаемой информации:
Категории целостности защищаемой информации:
Категории функциональных задач
Требуемые степени доступности функциональных задач:
Категории компьютеров
Порядок определения категорий защищаемых ресурсов АС
Проведение информационных обследований и категорирования защищаемых ресурсов
Тема 13: Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
При проектировании и разработке
При проведении испытаний
При сдаче в промышленную эксплуатацию
В процессе эксплуатации (сопровождения)
Тема 14: Планы защиты и планы обеспечения непрерывной работы и восстановления подсистем АС
План защиты информации
План обеспечения непрерывной работы и восстановления
Классификация кризисных ситуаций
Общие требования
Средства обеспечения непрерывной работы и восстановления
Обязанности и действия персонала по обеспечению непрерывной работы и восстановлению системы
Обязанности системного инженера по ОНРВ
Тема 15: Концепция информационной безопасности организации
Назначение и статус документа
Тема 16: Концепция информационной безопасности организации
Назначение и статус документа
Тема 17: Назначение и возможности СЗИ НСД
Задачи, решаемые средствами защиты информации от НСД
Тема 18: Рекомендации по выбору средств защиты от НСД
Тема 19: Проблемы обеспечения безопасности в IP-сетях
Типовая корпоративная сеть
Примерный сценарий действий нарушителя
Этап 1 - сбор сведений
Этап 2 - попытка получения доступа к узлу Поиск необходимых инструментов
Получение доступа к выбранному узлу сети
Этап 3 - получение доступа к другим узлам внутренней сети
Этап 4 - получение полного контроля над одним из узлов
Тема 20: Угрозы, уязвимости и атаки в сетях
Основные понятия
Классификация уязвимостей
Источники возникновения уязвимостей
Классификация уязвимостей по уровню в инфраструктуре АС
Классификация уязвимостей по степени риска
Высокий уровень риска
Средний уровень риска
Низкий уровень риска
Что такое CVE?
Классификация атак
Классификация атак о целям
Классификация атак по мотивации действий
Местонахождение нарушителя
Механизмы реализации атак
Статистика по уязвимостям и атакам
Тема 21: Межсетевые экраны
Введение
Основные сведения
Типы МЭ
Пакетные фильтры
Шлюзы уровня соединения
Шлюзы прикладного уровня
Технологии Proxy и Stateful inspection
Варианты расположения МЭ
Виртуальные частные сети
Виды виртуальных частных сетей
Тема 22: Средства анализа защищенности сетей
Контроль эффективности системы защиты
Средства анализа защищенности сетевых сервисов (служб)
Средства анализа защищенности операционных систем
Сетевой сканер Nessus - пример средства анализа защищённости
Введение
Архитектура
Характеристики
Модульная архитектура
NASL
Идентификация служб
Система отчётов
Техническая поддержка
Параллельное сканирование
Регулярное обновление
Тема 23: Средства обнаружения атак
Обнаружение атак и опасных действий нарушителей
Архитектура систем обнаружения атак
Типы систем обнаружения атак
Классификация по уровням информационной инфраструктуры
Классификация по принципу реализации
Классификация по технологии обнаружения