понедельник, 22 февраля 2016 г.

Сертификация ИБ-специалистов: 5 главных сертификатов

Каждый уважающий высококвалифицированный специалист ИБ в какое-то время задумывался о сертификации в своей отрасли по международным стандартам. Что нам дает сертификат - повышение самооценки, рост заработной платы, расширение компетенции, карьерный рост. Для каждого это свой результат.  Несомненно одно - это еще одна степень в развитии. На сегодня существуют несколько вариантов сертификации по информационной безопасности. Сегодня в обзоре рассмотрим топ 5 основных сертификатов.


Пять главных ИБ-сертификатов

В результате повышенного внимания к вопросам информационной безопасности растет потребность компаний в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя наличие сертификата не говорит о реальном уровне знаний человека, до сих пор во многих компаниях действует принцип «по одежке встречают».
Именно поэтому многие специалисты так стремятся получить заветную бумажку, которая, как они думают, может открыть им двери во многие российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования. Можно выделить четыре основные причины, которые влекут российских специалистов за каким-либо сертификатом по информационной безопасности.
Во-первых, подтверждение собственной квалификации (для себя «любимого»). Иногда это просто тщеславие и желание «похвастаться» перед окружающими. Во-вторых, возможность повышения зарплаты и большие возможности карьерного роста (в т.ч. и получение работы за границей). В-третьих, наличие сертификата может являться обязательным требованием при приеме на работу, но пока это редкое явление. В-четвертых, сертификат —  это приобщение к сообществу специалистов.
На сегодняшний день существует две различных схемы сертификации специалистов в области безопасности, аналогичные схемам обучения. Первая схема не привязана ни к каким продуктам и охватывает различные аспекты той или иной технологии информационной безопасности. К такой схеме сертификации относится Certified Information System Security Professional (CISSP) или Certified Information System Auditor (CISA). Не менее известной является сдача экзаменов на получение статуса Certified Information Systems Auditor (CISA) в Information Systems Audit and Control Association (ISACA). Специалист, сертифицирующийся по второй схеме, зависит от конкретного продукта или решения, предложенного конкретной компанией. По такой схеме работают компании Cisco, Microsoft и другие. Существуют и смешанные системы сертификации.
Программа CISSP была разработана международным консорциумом по сертификации в области безопасности информационных систем (International Information Security Systems Certification Consortium, ISC2). Для получения данного статуса необходимо сдать экзамен, однако возможность сдать его имеет не каждый специалист, а только тот, кто обладает не менее 3-хлетним опытом работы в этой области (эта информация проверяется при регистрации на экзамен). Это достаточно стандартное требования для всех значимых сертификаций, что позволяет отсечь новичков.
Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется новыми. Самое важное, что текущий экзамен (кстати, сдается он на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях. Кроме того, в отличие от других систем сертификации в области информационной безопасности, он не привязан ни к какому конкретному производителю, что позволяет говорить о его независимости.
Экзамен на получение сертификата CISSP длится 6 часов и состоит из 250 вопросов, сгруппированных в 10 тем (т.н. доменов):
  • разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.);
  • сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и т.п.);
  • процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);
  • разработка безопасных приложений (вредоносный код, разработка ПО);
  • криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);
  • архитектура безопасности (модели безопасности и ее оценки, Общие критерии и т.д.);
  • эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т.п.);
  • непрерывность бизнеса (оценка ущерба, восстановление работоспособности);
  • законодательство (законы, расследование инцидентов);
  • физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).
Сдав экзамен, вы получаете сертификат, однако свой статус придется каждые 3 года. Это можно сделать двумя способами: повторной сдачей экзамена или «добычей» 120 так называемых кредитов, которые «зарабатываются» написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т.п.
Аналогичная схема действует и для многих других сертификаций по информационной безопасности и она оправдана —  технологии и ситуация на рынке меняется очень быстро. А значит «почивать на лаврах» не придется —  необходимо заниматься самообразованием и быть всегда в курсе последних новинок в данной области.
На сегодняшний день интерес к этому статусу в России очень высок. Если до 2003 года в России насчитывалось всего 2 сертифицированных эксперта, то сегодня на сайте ISC2 размещено 33 резюме тех, кто согласился открыть информацию о себе —  реально же их в 1,5-2 раза больше, и это число будет только расти.
Аудиторию для данной сертификации составляют средний и высший уровень руководства в области информационной безопасности — архитекторы по безопасности, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.
Статус Systems Security Certified Practitioner (SSCP) был разработан консорциумом ISC2 для тех, кто пока не может сдать экзамен на статус CISSP или только готовится к нему, а также для тех, кто не стремится на руководящие позиции и ему не требуется более высокий статус от ISC2. Учитывая одного прародителя, сертификация SSCP очень похожа на CISSP за небольшим исключением.Во-первых, вместо 10-ти доменов экзаменуемые проверяются всего по 7-ми: разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.), безопасность данных, администрирование безопасности, криптография, аудит и мониторинг, вредоносное ПО, управление рисками, реагирование и восстановление.
Во-вторых, число вопросов сокращено вдвое —  до125, также вдвое сокращено и время на экзамен —  до 3 часов. И, наконец, для сдачи данного экзамена необходим опыт работы в течение 1-го года по специальности (вместо трех).
В обоих случаях (CISSP и SSCP) получению статуса предшествует подписание этического кодекса поведения (Code of Ethics), который описывает, как себя должен вести обладатель престижного сертификата. Такое требование является обязательным при получении многих сертификатов, например, CISA.
Учитывая, что статус SSCP является только остановкой на половине пути к CISSP и то, что появился он позже последнего, то абсолютное большинство российских специалистов стремится именно к CISSP —  на сайте ISC2 зарегистрирован только один российский обладатель сертификата SSCP.
Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты.
В 1969 году была основана Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), которая на сегодня является признанным лидером в управлении, контроле и поддержке информационных систем, продвижении открытого стандарта CoBIT и ратует за стандартизацию в области ИТ. Основная цель ассоциации — исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.
Для того, чтобы контролировать соблюдение требований стандартов по управлению ИТ-инфраструктурой, ISACA (http://www.isaca.org/) предложила в 1978 году программу подготовки и сертификации аудиторов информационных систем (Certified Information Systems Auditor, CISA). Сегодня это самая известная программа подготовки внешних аудиторов (для внутренних аудиторов существует сертификация CIA от IIA). На сегодня статусом CISA обладают около 48000 аудиторов по всему миру.
Экзамен на получение данного статуса очень похож на CISSP —  содержит 200 вопросов и занимает 4 часа. Различие состоит в темах, которые рассматривают в рамках курса подготовки и на экзамене. В данном случае внимание уделяется процессу аудита информационной системы (10 % всех вопросов), управлению ИТ-инфраструктурой (15 % вопросов), управлению жизненным циклом системам и инфраструктурой (16 %), доставке и поддержке ИТ-сервисов (14 %), защита информационных активов (31 %) и непрерывности и восстановлению бизнеса (14 %).
Как и в предыдущих сертификациях, для ее получения необходимо подписать соответствующий этический кодекс и обладать пятилетним опытом работы в области аудита, управления или безопасности. Требование 5-ти лет может быть снято, если кандидат обладает опытом проведения финансового аудита, 2 года был инструктором или имеет степень в университете, аккредитованном ISACA. Каждые 3 года статус CISA должен быть подтвержден.
Аудитория для данной сертификации: ИТ-аудиторы, аудиторы информационной безопасности, сотрудникикомпаний-интеграторов.
CISM
У сертификата Certified Information Security Manager (CISM) интересная история. Он был разработан ассоциацией ISACA, которая к тому моменту уже имела другую сертификацию —  CISA. На сайте ISACA приводится такая причина появления статуса CISM: «сертификат CISSP является стандартом де-факто в области информационной безопасности, но за его долгую историю выявились определенные недоработки данной квалификационной схемы. Поэтому и появился статус CISM, который позволяет увязать информационную безопасность со стратегией развития бизнеса компании». Исходя из этого, можно сделать вывод, что сертификаты CISM и CISSP конкурируют между собой, хотя содержание данных двух программ различается очень сильно. Достаточно сравнить 10 доменов CISSP с содержанием программы CISM —  никакой техники, только управление: связь стратегии ИБ с требованиями бизнеса (21 % всех вопросов), идентификация и управление рисками безопасности, влияющими на бизнес-цели (21 %), управление программой ИБ (21 %), направление всех активностей, связанных с ИБ (24 %), управление программой управления рисками и BCP (13 %).
Из программы видно, что далеко не каждый «технарь» способен пройти данную сертификацию. Неслучайно, чтобы получить статус CISM необходимо трудиться по части информационной безопасности не менее 5 лет и 3 из них в области управления.
Аудитория для данной сертификации: средний и высший уровень руководства в области информационной безопасности — CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.
GIAc
Институт SANS (System Administration, Networking and Security Institute) считается одним из признанных авторитетов в области безопасности. Помимо различных курсов, тренингов, публикаций и исследований, при SANS создан специальный центр анализа инцидентов (Global Incident Analysis Center, GIAc ), который наряду с другой своей деятельностью предлагает и сертификацию технических специалистов по безопасности.
GIAc предлагает 3 уровня подтверждения своей квалификации — GSEc (базовый уровень), GCFW/GCIA/GCIH/GCNT/GCUX и GSE. В отличие от множества других технических сертификаций GIAc поступил разумно и выделил несколько направлений развития своих выпускников. Это межсетевые экраны, защита периметра и VPN —  GIAc Certified Firewall Analyst —  данный статус необходимо подтверждать каждые 4 года. Обнаружение атак —  GIAc Certified Intrusion Analyst —  данный статус необходимо подтверждать каждые 4 года. Управление инцидентами —  GIAc Certified Incident Handling —  данный статус необходимо подтверждать каждые 2 года. Уменьшение времени на ресертификацию связано с быстрым изменением ситуации на рынке «хакерских технологий» и необходимость соответствовать всем современным тенденциям. Безопасность Windows —  GIAc Certified Windows Security —  данный статус необходимо подтверждать каждые 2 года. Безопасность Unix —  GIAc Certified Unix Security —  данный статус необходимо подтверждать каждые 2 года.
Если вы хотите стать обладателем самой высокой ступени GIAc в области информационной безопасности —  GSE (GIAc Security Engineer), то вам надо сделать совсем «чуть-чуть» —  получить базовый статус GSEc и к нему еще все пять вышеперечисленных сертификаций —  GCFW, GCIA, GCIH, GCNT и GCUX. Данная сертификация практически неизвестна в России, но на Западе она имеет такой же статус для технических специалистов, что и CISSP для руководителей служб информационной безопасности.
Такая трехуровневая схема является одной из самых правильных — постепенно наращивается потенциал как в знаниях и практике, так и в статусе. Например, у компании Cisco такая же наращиваемая схема сертификации специалистов по безопасности —  Cisco Qualified Security Specialist, Cisco Certified Security Professional (CCSP) и Cisco Certified Internetworking Expert (CCIE Security). У других вендоров уровней обычно всего два — администратор и инженер (или профессионал и эксперт).
Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты,сотрудники групп реагирования на инциденты, ведущие специалисты по безопасности.
Что выбрать?
На этот вопрос вам никто не ответит кроме вас самих. Ваша будущая сертификация зависит от того, в какую фирму вы планируете и по какому профилю. Например, если вы пойдете в российскую фирму-разработчика средств защиты, то вам ни один из перечисленных ваше сертификатов не потребуется. Если ваша цель —  компании большой четверки, то без CISA (а для Ernst&Young еще и CISSP) вам не обойтись. Если вы стремитесь управлять процессами информационной безопасности у своего работодателя, то здесь вам понадобится CISSP или CISM. И, наконец, если вы просто хотите быть хорошим администратором безопасности или входить в группу реагирования на инциденты, то лучше сконцентрироваться на получении «вендорских» сертификатов, SSCP или GIAc . Если же вы юрист и хотите заниматься расследованиями компьютерных преступлений, то вам понадобятся сертификаты, о которых выше не говорилось: CCCI (Certified Computer Crime Investigator), CCFT (Certified Computer Forensic Technician), CCCP (Certified Computer Crime Prosecutor) или CCCA (Certified Computer Crime Attorney). Иными словами, вы должны понимать вашу текущую роль и по какому пути вы пойдете в обозримом будущем.
Не стоит забывать, что сертификат только подтверждает ваши знания, а не наоборот. В конце концов, может статься, что если вы сотрудник первого отдела или специалист по борьбе с мошенничеством, то вам скорее подойдет сертификат CCO (Certified Confidentiality Officer) от частного агентства BECCA (Business Espionage Controls Countermeasures Association) или CFE (Certified Fraud Examiner) от ACFE (Association of Certified Fraud Examiners) соответственно. Эти сертификаты не являются общепризнанными и вряд ли знакомы большинству HR-менеджеров, но зато подготовка к их получению даст вам действительно полезные и нужные на вашей позиции знания.
Стоит ли так стремиться к сертификату? Некоторые готовы построить свой профессиональный и карьерный рост только через призму своего таланта — им не нужны никакие сертификации. Да и многие консультанты по карьере рекомендуют получать не сертификаты, а опыт работы в какой-либо крупной и «серьезной» компании, что гораздо больше влияет на карьеру и рост зарплаты, чем наличиекакого-либо статуса. Но и сертификат не является совсем уж бесполезной вещью. Если у вас нет опыта работы в Cisco, IBM, Ernst&Young и вы не уверены в силе своего таланта, то «бумага с печатью» лишней не будет. Надо помнить, что когда резюме смотрит сотрудник отдела кадров, то у него перед глазами только 4-х и 5-ти буквенные аббревиатуры — опыт по информационной безопасности в резюме не покажешь. Поэтому при наличии сертификата шансы на первое интервью возрастают. А вот на первом и последующих интервью сертификат уже не будет играть столь важную роль. Хороший менеджер по персоналу будет обращать внимание на немного другие характеристики кандидата — умение работать в команде, мотивация, понимание корпоративных ценностей, готовность к обучению и т.д.

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.