Зачем нужен CISSP | Директор информационной службы | Издательство «Открытые системы»

Зачем  нужен CISSP | Директор информационной службы | Издательство «Открытые системы» Сертификаты

Что дает сертификат

Из 15 лет опыта в IT, около 7-8 из них тесно связаны с безопасностью (разработка высоко-защищенных архитектур, web security анализ, ручной пенетрейшн тестинг, разработка собственной lightweight intrusion detection system-ы dhound.io, управление безопасностью).

То есть первое, что я получил от сертификации – наличие доказательства экспертизы в области безопасности.

На удивление, отношение к сертификатам в западном мире (в частности, в Англии) совершенно другое. Там верят в их силу, и было удивительно, когда разработчики и  менеджеры начинают задавать точечные вопросы или рассказывать про своё знание этой сертификации.

Если говорить в целом о безопасности. Мало знать некие отдельные технические детали –  современные условия требуют знаний управления самой безопасности. Оценка и управление рисками, моделирование угроз, многоуровневая защита, стандарты и фреймворки безопасности, Business Continuity и Disaster Recovery планы, уровни классификации данных, что выливается в многочисленные политики, гайдланы, процедуры и так далее.

Согласно тому же GDPR (General Data Protection Regulation), если вы не можете документально показать, что соответствуете этому предписанию, то уже не важно, насколько хорошо ваша система построена – вы не соответствуете. Со всем этим делом был уже знаком, но CISSP помог структурировать информацию относительно тех же стандартов и их требований.

Ещё один немало важный момент – сама подготовка к экзамену позволяет освежить знания, которые не требуются каждый день и подзабываются. Кто сейчас сходу может вспомнить, какой режим симметричного шифрования в каких случаях лучше всего использовать:

ECB, CBC, CFB, OFB или CTR? В чём отличия между HMAC, CBC-MAC и СМАС для гарантии целостности сообщения? Вот и я про то. Главное, даже не в том, чтобы это запомнить (для экзамена придётся), а в том, чтобы в дальнейшем знать куда посмотреть, чтобы принять правильное решение. “Припомнить” хорошо забытые знания полезно время от времени.

Что выбрать?

На этот вопрос вам никто не ответит кроме вас самих. Ваша будущая сертификация зависит от того, в какую фирму вы планируете и по какому профилю. Например, если вы пойдете в российскую фирму-разработчика средств защиты, то вам ни один из перечисленных ваше сертификатов не потребуется.

Если ваша цель –  компании большой четверки, то без CISA (а для Ernst&Young еще и CISSP) вам не обойтись. Если вы стремитесь управлять процессами информационной безопасности у своего работодателя, то здесь вам понадобится CISSP или CISM. И, наконец, если вы просто хотите быть хорошим администратором безопасности или входить в группу реагирования на инциденты, то лучше сконцентрироваться на получении «вендорских» сертификатов, SSCP или GIAc .

Если же вы юрист и хотите заниматься расследованиями компьютерных преступлений, то вам понадобятся сертификаты, о которых выше не говорилось: CCCI (Certified Computer Crime Investigator), CCFT (Certified Computer Forensic Technician), CCCP (Certified Computer Crime Prosecutor)

Не стоит забывать, что сертификат только подтверждает ваши знания, а не наоборот. В конце концов, может статься, что если вы сотрудник первого отдела или специалист по борьбе с мошенничеством, то вам скорее подойдет сертификат CCO (Certified Confidentiality Officer) от частного агентства BECCA (Business Espionage Controls Countermeasures Association)

или CFE (Certified Fraud Examiner) от ACFE (Association of Certified Fraud Examiners) соответственно. Эти сертификаты не являются общепризнанными и вряд ли знакомы большинству HR-менеджеров, но зато подготовка к их получению даст вам действительно полезные и нужные на вашей позиции знания.

Стоит ли так стремиться к сертификату? Некоторые готовы построить свой профессиональный и карьерный рост только через призму своего таланта – им не нужны никакие сертификации. Да и многие консультанты по карьере рекомендуют получать не сертификаты, а опыт работы в какой-либо крупной и «серьезной» компании, что гораздо больше влияет на карьеру и рост зарплаты, чем наличие какого-либо статуса.

Но и сертификат не является совсем уж бесполезной вещью. Если у вас нет опыта работы в Cisco, IBM, Ernst&Young и вы не уверены в силе своего таланта, то «бумага с печатью» лишней не будет. Надо помнить, что когда резюме смотрит сотрудник отдела кадров, то у него перед глазами только 4-х и 5-ти буквенные аббревиатуры – опыт по информационной безопасности в резюме не покажешь.

Поэтому при наличии сертификата шансы на первое интервью возрастают. А вот на первом и последующих интервью сертификат уже не будет играть столь важную роль. Хороший менеджер по персоналу будет обращать внимание на немного другие характеристики кандидата – умение работать в команде, мотивация, понимание корпоративных ценностей, готовность к обучению и т.д.

Aws certified solutions architect

Amazon предлагает длинный список сертификатов AWS, но AWS Certified Solutions Architect — это один из самых популярных вариантов среди сертификатов в сфере облачных вычислений, который можно получить. AWS широко используется в больших и малых компаниях, поэтому независимо от того, работает ли человек уже в организации, использующей AWS, или только планирует туда пойти в будущем, это хороший выбор для улучшения своего резюме.

Средняя годовая зарплата в мире (по данным PayScale) составляет $113,000.

Certified data professional (cdp)

Сертификация Certified Data Professional (CDP) доступна в Институте аттестации специалистов по электронным вычислительным машинам (ICCP) и предполагает несколько путей обучения. Кандидаты CDP могут выбирать из целого ряда областей, включая бизнес-аналитику, аналитику данных и проектирование, управление данными, интеграцию данных и взаимодействие, управление данными, хранение данных, корпоративную архитектуру данных, информационные системы, IТ-менеджмент и многое другое.

Средняя годовая зарплата в мире составляет $45,000.

Cisco certified internetwork expert (ccie)

Сертификация Cisco Certified Internetwork Expert (CCIE) — это самый высокий уровень сертификации, которого можно достичь в программе Cisco. Сертификаты экспертного уровня предлагаются в специализированных областях, включая корпоративную инфраструктуру, корпоративную беспроводную связь, центр обработки данных, безопасность, предоставление услуг.

Как только человек сдает экзамен CCIE по выбранной специальности, он достигает самого высокого уровня сертификации Cisco, доступного в настоящее время. Прежде чем IT-специалист сможет получить сертификат экспертного уровня, рекомендуется иметь по крайней мере пять-семь лет опыта работы в данной области.

Средняя годовая зарплата в мире составляет $126,000.

Cisco certified network associate (ccna)

Сертификация Cisco Certified Network Associate (CCNA) предлагается в нескольких специализациях, включая информационную безопасность, беспроводную связь, маршрутизацию и коммутацию, IoT, центр обработки данных, кибер-операции, совместная проектная деятельность и облачные хранилища.

Экзамен охватывает основы сети, сетевого доступа, IP-подключения; IP-сервисы, основы безопасности, а также автоматизацию и программируемость. Для сдачи экзамена потребуется как минимум один год опыта работы с продуктами и сервисами Cisco, базовые знания IP-адресации и глубокое понимание основ работы с сетью.

Средняя годовая зарплата в мире составляет $78,000.

Comptia a

Сертификация CompTIA A предназначена для специалистов службы поддержки, специалистов по техническому обслуживанию на местах, аналитиков службы поддержки. Это сертификация начального уровня, которая заверяет способность устранять неполадки и решать проблемы с сетями, мобильными устройствами, операционными системами и безопасностью.

Сертификация охватывает девять важных IТ-навыков, таких как аппаратное обеспечение, сеть, мобильные устройства, операционная система Windows, устранение неполадок оборудования и сети, технологии операционной системы, устранение неполадок программного обеспечения, безопасность и техническое оборудование.

Средняя годовая зарплата в мире составляет $61,000.

Comptia security

Первый сертификат, который должен получить начинающий специалист – CompTIA Security . Он подтверждает необходимые для любой роли в области кибербезопасности фундаментальные навыки и служит ступенькой к позициям среднего уровня. Security включает передовой опыт практического устранения неполадок и навыки решения проблем безопасности:

  • Оценку состояния безопасности корпоративной среды, а также выбор и внедрение соответствующие решений.
  • Навыки мониторинга и обеспечения безопасности гибридных сред, включая облачные, мобильные и IoT.
  • Умение действовать, зная о применимых законах и политиках, в том числе о принципах корпоративного управления, рисках и нормативных требованиях.
  • Выявление и анализ событий и инцидентов, связанных с безопасностью, а также реагирование на них.
Про сертификаты:  SANITA — официальный сайт торговой марки

Кому может потребоваться сертификат?

  • Администраторам безопасности.
  • Системным администраторам.
  • Менеджерам службы поддержки (аналитикам).
  • Сетевым/облачным инженерам.
  • Инженерам по безопасности (аналитикам).
  • Инженерам DevOps и разработчикам программного обеспечения.
  • ИТ-аудиторам.
  • Менеджерам ИТ-проектов.

Какие навыки необходимы для получения сертификата?

  • Атаки, угрозы и уязвимости. Внимание стоит сосредоточить на пользовательских устройствах, устройствах Интернета вещей и других встраиваемых решениях, а также на атаках DDoS и методах социальной инженерии.
  • Архитектура и дизайн. Изучите корпоративные среды и облачные решения, которые все чаще используются по мере перехода организаций к гибридной инфраструктуре.
  • Выполнение. Сосредоточьтесь на администрировании учетных записей, управлении доступом, PKI, базовой криптографии, беспроводной сети и сквозной безопасности.
  • Операции и реагирование на инциденты. Придется изучить процедуры оценки безопасности организации и реагирования на инциденты, такие как базовое обнаружение угроз, методы снижения рисков и базовую цифровую криминалистику.
  • Управление, риски и соответствие. Изучите управление организационными рисками и соблюдением нормативных требований, вроде PCI-DSS, SOX, HIPAA, GDPR, FISMA, NIST и CCPA.

Рекомендуемый опыт: CompTIA Network и два года опыта в ИТ-администрировании с фокусом на безопасности.

Цена сертификата: от $370.

Microsoft certified solutions associate (mcsa)

Корпорация Майкрософт предлагает несколько сертификатов Certified Solutions Associate (MCSA) в таких отраслях, как BI-отчетность, Office 365, разработка баз данных, веб-приложения, Windows Server, Windows 10 и ряде других продуктов и служб.

Сертификация MCSA предназначена для технических работников начального уровня, поэтому, если человек только начинает свою IТ-карьеру, эти сертификаты станут полезными находками для улучшения его резюме. Стоит обратить свое внимание, что Майкрософт вскоре будет пересматривать свою программу сертификации, и MCSA может уступить место другим сертификациям.

Средняя годовая зарплата в мире составляет $75,000.

Project management professional (pmp)

Сертификация PMP рекомендована Институтом по управлению проектами и ориентирована на продвинутых специалистов в этой сфере. Она охватывает основы управления проектами, включая пять основных этапов «жизненного цикла» проекта: инициирование, планирование, выполнение, мониторинг, контроль и окончание.

Для того чтобы сдать экзамен, человеку понадобится как минимум диплом и трехлетний опыт работы в области управления проектами, 4500 часов руководства и 35 часов обучения управлению проектами. Если есть среднее образование, то потребуется пять лет опыта, 7500 часов руководства и 35 часов обучения управлению проектами.

Средняя годовая зарплата в мире составляет $106,000.

Домены

Как было сказано выше, CISSP покрывает 8 доменов в области безопасности.

Домен #1. Security and Risk Management – вопросы стандартов и фреймворков безопасности (ISO/IEC 27000, ITIL, SABSA, COBIT, NIST, …), регламентов и актов (GDPR, PCI DSS, HIPAA, Patriot Act, …), конфиденциальность, фреймворки по управлению рисками (ISO 31000, COSO, NIST). Короче, всё, что связано с мировыми практиками и стандартами в области безопасности.

Домен #2. Asset Security – классификация данных, жизненный цикл данных, уровни ответственности в организации, политики хранения данных, стратегии защиты и удаления данных

Домен #3. Security Engineering – криптография, системы управления ключами, защитные механизмы операционных систем, модели доступа к данным, физическая защита зданий

Домен #4. Communication and Network Security – топология и стандарты сетей, сетевая защита, защита каналов, угрозы и сетевые атаки, управление безопасностью коммуникаций

Домен #5. Identity and Access Management – контроль физического и логического доступа, системы доступа и их управление, биометрический доступ, атаки на системы доступа, системы обнаружения и предотвращения проникновений

Домен #6. Security Assessment and Testing – методы проведения анализа безопасности, тестирование на проникновение, уязвимостей, бэкапов данных, восстановление бизнеса в случае непредвиденных обстоятельств, организация отчётности

Домен #7. Security Operations – расследование инцидентов по безопасности, управление физической защитой, системы управления инцидентами, управление изменениями, стратегии восстановления бизнеса в случае происшествий

Домен #8. Software Development Security – практики безопасности, внедренные в процесс разработки, управление изменениями и конфигурацией, защита репозиториев

Как видно, сама сертификация покрывает ОЧЕНЬ большую область безопасности и во многом связана с управлением, калькуляцией, процессами и стандартами безопасности.

Процесс сдачи

Теперь немного о шагах самой сдачи:

  • Найти существующего CISSP, который подтвердит опыт и квалификацию

Перед сдачей на сертификат, необходим референс от существующего сертифицированного специалиста CISSP, который готов поручиться за ваш опыт. У меня им выступил Иван. Если проблематично такого найти, можно запросить его у ISC2.

  • Купить онлайн экзамен в Pearson VUE

Стоимость 699 USD. В Минске данный экзамен сдать не получится. Ближайшие аккредитованные центры для сдачи CISSP в Москве, Вильнюсе, Киеве. Выбор пал на Москву..

Основным источником выступила книга CISSP® All-in-One Exam Guide, Seventh Edition. Не стоит обольщаться, что, прочитав её, можно сдать экзамен:

  • это 1300 страниц забористого текста с кучей аббревиатур
  • многие моменты приходилось искать дополнительно на просторах Интернета
  • на экзамене помню вопрос, который был упомянут одним коротким предложением в книге

Сертификация специалистов по информационной безопасности

Автор статьи Дмитрий Крылов возглавляет…

Информационная безопасность сегодня является одной из самых
актуальных проблем ИТ-индустрии, и большинство руководителей компаний рано или
поздно осознают, что главным вопросом здесь является не наличие тех или иных
технологий, не говоря уже о продуктах, а высокий профессиональный уровень соответствующих
специалистов. Чтобы не ошибиться в выборе будущего сотрудника, следует прежде
всего обращать внимание на то, имеет ли он сертификацию по информационной безопасности.
Хотя споры о том, насколько сертификация отражает реальную способность специалиста
решать поставленные задачи, продолжаются и до сих пор, но пока что не существует
лучшего механизма для оценки его возможностей. Тем более что практический опыт,
иногда противопоставляемый формальной сдаче сертификационных экзаменов, уже
давно является требованием хорошей сертификации.

О
значении повышения квалификации и сертификации специалистов по информационной
безопасности свидетельствуют финансовые показатели. По данным отчета IDC за
прошлый год, 40% топ-менеджеров примерно из тысячи ведущих компаний причисляли
информационную безопасность к главным приоритетам своих бюджетов, а оплата соответствующих
специалистов стабильно занимает первые строчки в списках оплаты квалифицированных
ИТ-специалистов. И, надо отметить, эти вложения окупаются. Так, согласно обзору
CompTIA 2004, охватывающему 900 компаний, те из них, которые инвестируют средства
в подготовку и сертификацию своего персонала по информационной безопасности,
менее уязвимы в части защиты информации: 80% компаний, вложивших деньги в обучение
персонала, и 70% компаний, потратившихся на сертификацию специалистов по защите,
почувствовали улучшение корпоративной защиты информации. Требования по подготовке
в области информационной безопасности для вновь принимаемых на работу ИТ-специалистов
в минувшем году предъявлялись в 28% организаций против 18% в 2003-м.

Сертификации по информационной безопасности можно разделить на два типа — вендорские
и вендоронезависимые.

Вендорские сертификации, первоначально появившиеся как составляющие
маркетинговых программ вендоров, до сих пор удерживают довольно сильные позиции.
Такие признанные производители систем и технологий защиты, как Cisco, ISS, Symantec,
CheckPoint и др., имеют собственные линейки сертификаций (как правило, трехступенчатые),
которые соответствуют разным уровням применения продукта/технологии, экспертного
знания и построения решений на основе продуктов данной компании. По престижности
(и величине оплаты сертифицированных специалистов) здесь лидируют сертификации
Cisco, характеризующиеся также значительными вложениями в подготовку. Самые
крупные вендоры ИТ-отрасли, а именно Microsoft, Sun, Computer Associates, 3СОМ,
Nortel Networks и т.д., тоже предлагают специализации по защите в рамках своих
сертификационных программ, но рассчитаны они скорее не на собственно специалистов
по защите, а на инженеров, администраторов и т.д. В целом вендорские сертификации
адекватно отражают функции технического персонала по эксплуатации или реализации
отдельных подсистем защиты, хотя сегодня подобная сертификация уже не является
достаточной для специалиста по информационной безопасности.

Про сертификаты:  Правила посещения КидБурга

Вендоронезависимая сертификация подразумевает, что сертифицированный
специалист способен оптимально организовать комплексную информационную безопасность
организации и обеспечить ее поддержку путем сочетания различных методов и технологий.
Данный уровень предполагает всесторонний подход к информационной безопасности:
от специалиста требуются знания технических и управленческих аспектов защиты,
а также владение широким спектром самых разных вопросов — от криптографии до
физической защиты. Высшие сертификации данного типа обладают и рядом дополнительных
условий — это, в частности, опыт работы в течение нескольких лет непосредственно
в качестве специалиста по информационной безопасности, регулярное обучение и
др.

Согласно уже упоминавшемуся обзору CompTIA, 68% респондентов предпочитают вендоронезависимый
тип обучения и сертификации специалистов по информационной безопасности, а большинство
остальных считают, что вендоронезависимые обучение и сертификация должны дополнять
вендорские.

В данной статье мы ограничимся рассмотрением вендоронезависимых сертификаций,
которые, в свою очередь, можно условно разделить на сертификации начального,
среднего и высшего уровней.

Лидерство по числу сертифицированных специалистов среди сертификаций начального
уровня
(12 тыс. специалистов из более чем 115 стран) принадлежит CompTIA
Security
— известной международной ассоциации Computing Technology
Industry Association (CompTIA, www.comptia.org).
Данная сертификация гарантирует знание специалистом защиты информации на фундаментальном
уровне. Для сертификации необходимо сдать экзамен и иметь не менее 2 лет опыта
работы в области сетевых технологий.

Как пример и один из лучших вариантов сертификации среднего уровня можно привести
сертификацию SANS GSEC (SANS — SysAdmin, Audit, Network, Security;
GSEC — Security Essentials Certification). SANS Institute (www.sans.org)
входит в число самых известных в мире и солидных источников информации, обучения
и сертификации по информационной безопасности. С 1999 года SANS Institute ведет
программу Global Information Assurance Certification (GIAC), а GSEC является
одной из сертификаций GIAC (более 3 тыс. специалистов) и ориентирована на начинающих
специалистов по информационной безопасности, имеющих опыт работы с системами
и сетями. GSEC гарантирует подготовку специалиста по позициям, связанным с техническими
аспектами защиты.

А теперь перейдем к высшим сертификациям — ISACA CISM, SANS GIAC Specialist/Expert
и CISSP.

Сертификат CISM (Certified Information Security Manager) присваивается
ассоциацией Information Systems Audit and Control Association (ISACA, www.
isaca.org
), известной как ведущая профессиональная организация специалистов
по управлению информационными системами по их контролю, аудиту и безопасности.
Эта ассоциация, основанная в 1967 году, имеет в своем составе десятки национальных
отделений (в том числе в России) и занимается исследованиями, стандартами в
предметной области (в частности, ей принадлежит известный стандарт CObIT), профессиональной
сертификацией специалистов. Основной сертификацией для членов ISACA является
сертификация CISA (Certified Information Systems Auditor), насчитывающая более
35 тыс. специалистов, а сертификация CISM впервые проводилась
в прошлом году, но на данный момент по CISM сертифицировано уже около 5 тыс.
специалистов (правда, около половины из них получили ее в наследство от CISA).

Сертификация CISM ориентирована на опытных управленцев системами/структурами
информационной безопасности. Сертификат CISM подтверждает, что специалист имеет
надлежащие знания, опыт и способен эффективно управлять защитой информации в
организации или консультировать по вопросам управления в указанной области.
Можно сказать, что CISM скорее является менеджмент-сертификацией в определенной
предметной области и сфокусирована на управлении рисками информационных систем,
хотя сертифицированный специалист владеет принципами и методами защиты информационной
системы на концептуальном уровне.

Для сертификации CISM необходимо сдать экзамен, подписать кодекс профессиональной
этики ISACA и подтвердить наличие опыта работы в предметной области. Экзамен
проводится раз в год (обычно в июне) в один и тот же день по всему миру и состоит
из 200 вопросов в письменном виде. Кстати, подобная бумажная технология является
характерной чертой высших сертификаций, поскольку позволяет максимально обезопасить
от компрометации материал экзамена. Экзамен длится 4 часа, плата за него составляет
450-500 долл. Тематика экзамена: регулирование в информационной безопасности
(21%), управление рисками (21%), управление программой информационной безопасности
(21%), управление защитой информации (24%), управление реагированием (13%).
Для сертификации требуется опыт работы в области информационной безопасности
не менее 5 лет, причем не менее 3 лет по управлению защитой в тех областях,
которые перечислены как темы экзамена. В зачет 1-2 лет общего опыта в информационной
безопасности могут идти различные сертификаты (Security , SANS GIAC, CISA и
др.), но это не отменяет 3-летнего срока работы по управлению защитой. Сертификацию
необходимо подтверждать посредством постоянного профессионального обучения (не
менее 120 часов обучения каждые 3 года и не менее 20 часов в год) по одобренным
ISACA программам. Для подготовки к экзамену работают курсы, проводимые ISACA
во время конференций и в отделениях ассоциации.

В целом сертификация CISM оценивается как одна из лучших для управленцев, работающих
в области обеспечения информационной безопасности.

Сертификация SANS GIAC Specialist входит в состав программы
GIAC SANS Institute, и на данный момент сертифицировано около 7 тыс. специалистов.
В процессе сертификации проверяется не только знание кандидатом определенной
области, но и его способность применить это знание на практике, вследствие чего
в исследовании Gartner Group отмечена предпочтительность GIAC для тех, кто связан
с техническими вопросами защиты.

Сертификации GIAC Specialist проводятся по различным направлениям: обнаружение
вторжения, межсетевые экраны и защита периметра, обработка инцидентов, безопасность
операционных систем; соответственно присваиваются квалификации GIAC Certified
Intrusion Analyst (GCIA), GIAC Certified Firewall Analyst, GIAC Certified Incident
Handler, GIAC Certified Windows Security Administrator, GIAC Certified UNIX
Security Administrator. Стоимость прохождения сертификации — 800 долл. Для сертификации
необходимо в течение 5 месяцев выполнить практическое задание (проект), затем
в течение месяца сдать два онлайн-экзамена, каждый из которых состоит из 75
вопросов, а на ответы отводится по 2 часа. Например, программы экзаменов GIAC
Certified Firewall Analyst включают такие вопросы, как бизнес-потребности и
защита, фрагментация в IP, транспорты и службы IP, TCPdump, WINdump, анализаторы,
статическая фильтрация пакетов, фильтрация и инспекция пакетов с контролем состояния,
прокси-серверы, углубленные знания распространенных межсетевых экранов, реализация
защиты при помощи маршрутизаторов Cisco, обнаружение вторжения, централизованное
протоколирование, анализ журналов межсетевых экранов, сообщения при протоколировании,
IPSec, SSL, SSH, построение защищенного периметра, актуальный инструментарий,
узловой и сетевой аудит и др. Каждые 2 или 4 года (в зависимости от направления)
обладатель сертификата должен сдавать подтверждающий онлайн-экзамен, стоимость
которого составляет 120 долл.

Сертификация GIAC Security Expert является высшей ступенью
программы GIAC. После сертификации по пяти позициям (причем не менее чем по
одной с баллом более 90%) GIAC Specialist должен сдать устный экзамен, выполнить
ряд практических заданий, сдать письменный экзамен, построенный по принципу
сценария, и выполнить устную презентацию на тему по своему выбору.

SANS GIAC Specialist/Expert являются высшими сертификациями для специалистов
по безопасности, работа которых тесно связана с техническими аспектами защиты
информации, и можно только пожалеть об их отсутствии в России.

Сертификация CISSP (Certified Iinformation Systems Security
Professional) проводится международным консорциумом ISC (International Information
Systems Security Certification Consortium, Inc., www.isc2.org),
который с самого начала создавался с целью обеспечения профессионалов и специалистов-практиков
по информационной безопасности стандартами профессиональной сертификации. Ядро
(ISC)2 составляют эксперты государственных структур, академических институтов,
крупных корпораций. CISSP — главная и практически единственная сертификация
консорциума. За 15 лет, которые прошли с момента создания консорциума и сертификации
CISSP, было сертифицировано около 27 тыс. специалистов в более чем 106 странах,
и сегодня CISSP является наиболее известной и всеми признанной сертификацией.
CISSP является первой сертифицированной по ISO/ANSI сертификацией специалиста
по информационной безопасности. Сертификат CISSP подтверждает высшую квалификацию
специалиста по комплексной безопасности информационных систем и свидетельствует
об информационной позиции безопасности самого высокого уровня — таких как CISO
(Chief Information Security Officer).

Про сертификаты:  Быстросохнущая грунтовка Tikkurila Temaprime EUR (Темапрайм ЕУР) купить (20 л, 2,7 л, 9 л) в Москве, цена

CISSP основана на «Общепринятом объеме знаний» (Common Body of Knowledge, CBK)
специалиста по информационной безопасности. В CBK собраны лучшие принципы, методики
и практики защиты, поддерживаемые и постоянно обновляемые экспертами отрасли.
Сертифицированный специалист должен быть компетентен в 10 областях (доменах)
CBK — это системы и методология управления доступом, безопасность разработки
приложений и систем, планирование непрерывности бизнеса и планирование восстановления
после чрезвычайных ситуаций, криптография, законодательство, расследования и
этика, безопасность операций, физическая безопасность, архитектуры и модели
безопасности, практика управления безопасностью, безопасность телекоммуникаций
и сетей. Сертификация CISSP является международным стандартом, поскольку CBK
не содержит специфики, характерной только для какой-либо страны или региона.

Оплата труда специалистов по информационной безопасности, тыс. долл. в год

Оплата труда специалистов по информационной безопасности, тыс.
долл. в год
(источник: Certification Magazine Salary Survey, 2004)

Сертификация требует опыта работы в доменах CBK не менее 3-4 лет, причем специалист
должен не просто решать проблемы защиты, а согласно своим должностным обязанностям
отвечать за те или иные аспекты обеспечения безопасности. Для сертификации необходимо
сдать сложный сертификационный экзамен, соответствовать этическим нормам (ISC)2
и постоянно проходить профессиональное обучение (не менее 120 часов каждые 3
года). Экзамен длится 6 часов, состоит из 250 вопросов в письменном виде и принимается
комиссией (ISC)2. Стоимость экзамена составляет 700 долл. После сдачи экзамена
потребуется рекомендация одного из обладателей сертификата CISSP (в некоторых
случаях она может быть заменена рекомендацией работодателя). Предусмотрена предварительная
сертификация CISSP Associate (сдача экзамена с последующим
набором опыта работы). Возможно дальнейшее развитие CISSP по специализациям
(концентрациям): ISSAP (Concentration in Architecture), ISSEP
(Concentration in Engineering), ISSMP (Concentration in Management).
Экзамены CISSP с 2003 года проводятся в России, и сегодня насчитывается порядка
100 сертифицированных специалистов. Экзамены проходят в учебном центре «Микроинформ»
(www.microinform.ru),
процент успешной сдачи составляет 60-70%.

Наиболее популярные сертификации специалистов по информационной безопасности

Наиболее популярные сертификации специалистов по информационной
безопасности

Для подготовки к сертификации CISSP предоставляются предэкзаменационные консультации
консорциума, а также работают авторизованные консорциумом учебные программы.
Одним из основных партнеров (ISC)2 по обучению является MIS Training Institute
(www.misti.com), причем эти программы являются
одним из самых распространенных способов подготовки к сертификации и поддержания
статуса CISSP, доступным и в России.

Суммируя все вышесказанное, отметим, что возможностей получить сертификацию
у специалистов по информационной безопасности, несмотря на их крайнюю востребованность,
не так уж и много. Если какой-либо компании нужен специалист с базовым знанием
проблематики (или если сам специалист находится в начале своей карьеры), стоит
рассмотреть сертификации CompTIA Security или SANS GSEC соответственно для
управленческой и технической специфики. Привлекая наиболее квалифицированных
специалистов (или выбирая себе долгосрочную высшую цель карьеры), ориентируйтесь
на сертификаты CISM для направления менеджера в управлении информационной безопасностью,
SANS GIAC Specialists/Expert для технического специалиста, CISSP для профессионала
в области комплексного обеспечения безопасности.

КомпьютерПресс 4’2005

Сертифицированный cisco network associate security (ссna security)

Получение сертификата CCNA Security подтверждает ваши знания о решениях в области безопасности. Кандидаты могут сдать один основной экзамен, а другой – по своему выбору.

Программа сертификации CCNA Security предназначена для начинающих специалистов, которые хотят продвинуться по карьерной лестнице.

Она подходит для следующих должностей:

  1. Инженер по безопасности приложений.
  2. Сетевой аналитик.
  3. Менеджер по работе с сетью.
  4. Специалист по обеспечению безопасности информации.
  5. Аналитик угроз.

Требования: хотя формальных условий для сдачи этого экзамена среднего уровня нет, рекомендуется иметь год опыта работы в области кибербезопасности с решениями Cisco.

Цена: $400 за основной тест и $300 за экзамен на концентрацию.

***

Получение сертификата стоит минимум несколько сотен долларов. Правильная сертификация серьезно повышает шансы кандидата на трудоустройство и уровень его заработной платы, однако инвестировать нужно с умом. Нет смысла тратить деньги, если вы не готовы к экзамену. Необходимые знания можно получить самостоятельно, но проще пройти онлайн-курсы.

Если вы только начинаете путь в профессии, обратите внимание на «Факультет информационной безопасности» образовательной онлайн-платформы GeekBrains. Под руководством опытных экспертов из ведущих технологических компаний вы получите там много практики по разным направлениям: тестам на проникновение, Python, реверс-инженирингу, безопасности сетей и криптографии.

Сертифицированный аудитор информационных систем (сisa)

CISA (Certified Information Systems Auditor) – еще один сертификат (ISC)2. Он демонстрирует опыт специалиста в оценке уязвимостей безопасности, разработке и внедрении средств контроля и отчетности о соответствии. Это один из самых известных сертификатов в сфере аудита кибербезопасности.

CISA предназначен для ИТ-специалистов среднего уровня, которые претендуют на следующие должности:

  • Менеджер по ИТ-аудиту.
  • Аудитор по кибербезопасности.
  • Аналитик по информационной безопасности.
  • Инженер по ИТ-безопасности.
  • Менеджер ИТ-проекта.
  • Менеджер программы комплаенс.

Требования: не менее пяти лет опыта работы в области аудита или обеспечения информационной безопасности. Двухлетняя или четырехлетняя степень может быть заменена соответственно одним или двумя годами опыта.

Цена: от $575 до $760.

Сертифицированный менеджер по информационной безопасности (сism)

Подтвердить навыки руководства в сфере кибербезопасности можно с помощью сертификации ISACA CISM (Certified Information Security Manager), которая охватывает такие разделы, как формирование политики, разработку программ, а также оценку инцидентов и рисков.

Получение сертификата CISM может быть хорошим выбором, если вы хотите перейти от технической к управленческой стороне профессии.

Он подходит для следующих должностей:

  • ИТ-менеджер.
  • Специалист по безопасности информационных систем.
  • Консультант по информационным рискам.
  • Директор по информационной безопасности.
  • Менеджер по управлению данными.

Требования: чтобы сдать экзамен CISM, вы должны иметь более 5 лет подтвержденного стажа в области управления информационной безопасностью. Один или два недостающих года вам могут «простить» при наличии действующего сертификата или ученой степени в связанной с информационной безопасностью областью.

Цена: подписчики платят $575, а гости – $760.

Сертифицированный специалист по безопасности информационных систем (cissp)

Выданный организацией по кибербезопасности (ISC)2 сертификат CISSP (Certified Information System Security Professional) является одним из самых востребованных в отрасли. Получение CISSP показывает, что у вас есть большой опыт в ИТ-безопасности.

Эта расширенная сертификация предназначена для профессионалов в области безопасности, которые хотят продвинуться по карьерной лестнице.

Она подходит для следующих должностей:

  • Директор по информационной безопасности.
  • Администратор безопасности.
  • Инженер по ИТ-безопасности.
  • Старший консультант по безопасности.
  • Аналитик по обеспечению информационной безопасности.

Требования: чтобы иметь право на сдачу экзамена CISSP, потребуется пять или более лет совокупного опыта работы как минимум в двух из восьми областей кибербезопасности. Например, в управлении безопасностью и рисками, управлении безопасностью активов, проектировании систем безопасности, управлении идентификацией и доступом.

После получения сертификата CISSP вы сможете добавить в свое резюме еще три специализированных навыка: архитектуру безопасности информационных систем (ISSAP), разработку систем информационной безопасности информационных (ISSEP) и управление безопасностью информационных систем (ISSMP).

Сертифицированный этичный хакер (сeh)

Этичный хакинг, также известный как взлом в белой шляпе – это практика законного взлома организаций с целью обнаружения уязвимостей до того, как это сделают злоумышленники.

Сертификат CEH (Certified Ethical Hacker) можно получить в EC-Council. Для этого потребуется продемонстрировать знания о тестировании на проникновение, сканировании уязвимостей, а также о векторах угроз и способах защиты от них. Сертификация CEH учит думать как хакер и проявлять большую активность в вопросах кибербезопасности.

Она подходит для следующих должностей:

  • Тестер на проникновение (пентестер).
  • Аналитик по киберинцидентам.
  • Аналитик по анализу угроз.
  • Архитектор облачной безопасности.
  • Инженер по кибербезопасности.

Требования: вы можете сдать экзамен CEH, если имеете двухлетний опыт работы в области информационной безопасности, или если вы прошли официальное повышение квалификации EC-Council.

Цена: $950 до $1199.

Оцените статью
Мой сертификат
Добавить комментарий