На ютубе смотрела, но там слишком основная "вода".
(в виде лекций двух часовых)

Миллион раз уже вопрос поднимался. Делай что нравится и что получается да и все

Выше по чату и в t.me/cyberoffru

И я также отвечала примерно... :ззз
Но вот я снова начала деградировать в ютубах, и как то перед собой стыдно... :с

Из трёх основных принципов (целостность, доступность, конфиденциальность) всё следует по сути же

Зависит от того, насколько верхнеуровнево делить.

Хорошо.

Security Operations, GRC, IDM, Application Security

Если верхнеуровнево:
1) Офисная безопасность и бумажный комплаенс - ну собственно бумага, ДЛП, контроль доступов и иже с ними.
2) Инфраструктурная безопасность - контроль цельности инфры, реагирование на общие инциденты, приоритизация уязвимостей и вот это все с соками.
3) AppSec - SDLC, девсекопсы, разработка разных методичек для разрабов.
4) Методология обучения - ака как учить пользаков с годным запоминанием
5) Пентесты - «запускай гидру и пусть брутает или давай сначала по шодану глянем и потом если не найдём будем бурпом сканить»
6) АСУТП - да вообще без комментариев.

Плюсую. Нюанс: разговаривая с бизнесом за ИБ используешь именно КЦД. А деления типа "инфраструктура/compliance" очень конъюнкторная история.

Направления чего? Делать руками/делать головой; инфраструктура/бизнес; внедрение/поддержка/консалтиг :) или находишь средство защиты/проблему которую оно решает - и вуаля "новое направление, теперь и сзи от нсд"

7) антифрод?

Норм если ты работаешь или твой заказчик B2C

А шо, в b2b антифродом не занимаются? Не принято, или всё уже реализовано?

Экономически далеко не всегда выгодно отдавать это в ИБ, зачастую проще нанять 1 ЭБшника для решения таких вопросов и он уже будет говорить что ему нужно, но исчерпываться это будет в основном данными из DLP либо какого нибудь российского варианта с расширенными контролями

Согласен

Хорошо

WebCamSec :) те IoT  еще