Сертификация специалистов по информационной безопасности. Лучшие сертификаты информационной безопасности

19.10.2006

Международная специализированная выставка по информационной безопасности Infosecurity 2006, проходившая в начале сентября в Москве, вновь показала, что информационная безопасность - по-прежнему одна из самых актуальных тем, а в центре внимания оказываются не столько современные технологии, продукты и оборудование, сколько квалифицированные специалисты.

Международная специализированная выставка по информационной безопасности Infosecurity 2006, проходившая в начале сентября в Москве, вновь показала, что информационная безопасность - по-прежнему одна из самых актуальных тем, а в центре внимания оказываются не столько современные технологии, продукты и оборудование, сколько квалифицированные специалисты. Несмотря на рост числа специалистов в области информационной безопасности, спрос на них продолжает расти. По данным IDC, количество профессионалов в области информационной безопасности в 2005 г. составило 1,4 млн., рост составил 9,3% в 2004-2005 гг.

Вопросы профессионализма специалистов в области информационной безопасности обсуждались в ходе круглого стола на конференции Infosecurity 2006. В своем выступлении вице-президент Института (ISC)² Марк Томпсон подчеркнул: «Люди, именно люди являются ключом к информационной безопасности, ее основным элементом». Поэтому крайне важно обеспечить подготовку специалистов и правильно оценить их квалификацию при подборе новых кадров.

На сегодня сертификация является наиболее объективной мерой оценки профессионального опыта и знаний специалиста. Консорциум (ISC)² - мировой лидер в области сертификации специалистов по информационной безопасности, его сертификация на высший уровень квалификации специалиста по информационной безопасности Certified Information Systems Security Professional (CISSP) признана «золотым» стандартом. В июне 2004 г. международная организация по стандартизации (ISO) официально одобрила программу сертификации на получение квалификации CISSP. Она является первой сертификацией, соответствующей строгим требованиям стандарта в области оценки и сертификации персонала ANSI ISO/IEC 17024. По официальным данным (ISC)² на 1 июня 2006 г., из 40 тыс. сертифицированных специалистов по всему миру в России число специалистов, имеющих сертификат CISSP, составляло 78 человек.

Сертификация CISSP конcорциума (ISC)² признается на рынке информационной безопасности. Одним из положительных моментов является проверка знаний специалиста независимо от поставщика решений. Многие производители аппаратного и программного обеспечения имеют свои сертификации. Так, например, Microsoft использует программу сертификации Microsoft Certified Systems Engineer: Security (MCSE: Security). Тем не менее, развивая свою партнерскую программу и отдавая дань все более сложным технологиям и оборудованию, для своих партнеров в компетенции Security Solutions по специализациям Security Management (разработка и управление системой безопасности) и Infrastructure Security (безопасность инфраструктуры), компания Microsoft выдвигает в качестве одного из требований наличие специалиста с независимой сертификацией в области информационной безопасности, где CISSP - на первом месте.

Если вы работаете в области информационной безопасности и хотите стать партнером Microsoft, то для участия в партнерской программе компании Security Solutions вам необходимы сертифицированные специалисты CISSP, SSCP (Systems Security Certified Practitioner) консорциума (ISC)² или CISA (Certified Information Systems Auditor)/CISM (Certified Information Security Manager) ассоциации ISACA (Information Systems Audit and Control Association).

Для получения сертификата CISSP необходимо сдать сложный экзамен, разработанный для проверки знаний в 10 областях (доменах) «Общепринятого объема знаний» (Common Body of Knowledge, CBK), подписать кодекс этики (ISC)² и иметь как минимум трехлетний опыт работы непосредственно в качестве специалиста по информационной безопасности систем в одной или нескольких областях CBK.

Подготовиться к сертификационным экзаменам и сдать их в России можно на базе единственного официального представителя консорциума (ISC)² в России и странах СНГ - учебного центра «Микроинформ». Программы подготовки специалистов по информационной безопасности опираются на учебные программы MIS Training Institute: «Управление информационной безопасностью организации» и «Защита периметра сети», которые помогают подготовиться к получению сертификации CISSP и засчитываются для ее подтверждения.

  • Дополнительная информация - на www.isc2.org и http://www.microinform.ru


    • Пожалуй, эту статью стоит начать именно с вопроса «а на фига мне это надо?». Сертификация - дело сугубо добровольное, а все мы, как известно, ленивы… В итоге, как показывает практика, многие недооценивают пользу сертификатов, или вообще о ней не задумываются, полагая, что им хватит диплома о высшем образовании и\или хорошего послужного списка, то есть резюме.

    На деле это не совсем так, ведь если ты окончил тракторный институт, это еще не значит, что ты можешь управлять трактором. Плюс ситуации в жизни бывают разные, так в IT-шной среде весьма велик процент гениальных самоучек, у которых зачастую вообще нет дипломов о высшем образовании, или диплом есть, но совсем не профильный. И, конечно, не стоит забывать об обратной стороне этой медали: множество людей с высшим IT-образованием едва могут переставить «Винду», и работодатели прекрасно осведомлены об этом печальном факте. Итак, зачем вообще нужна сертификация?

    Давай начнем с наиболее сложного примера: допустим, у тебя уже имеется диплом о высшем образовании, равно как и неплохое резюме. Как это ни удивительно, в такой ситуации будет ошибочно полагать, что никакие сертификаты тебе не нужны. Совершенно непринципиально, собираешься ли ты устраиваться на работу, или уже имеешь теплое местечко в хорошей компании, где и планируешь подниматься по карьерной лестнице семимильными шагами. В обоих случаях стоит помнить о том, что специалисты по работе с персоналом и начальство смотрят в первую очередь на твой опыт и на конкретные знания и умения. Наличие же одного или нескольких взаимодополняющих сертификатов дает тебе дополнительные очки в их глазах, а также преимущество перед другими соискателями - ты не просто «умеешь», ты подтвержденный и проверенный специалист (да-да, порой сертификат может являться неплохой заменой опыту работы, особенно для начинающего специалиста).

    Практически аналогично дело обстоит и в случае с уже имеющейся должностью - у спеца с международными сертификатами куда больше шансов возглавить новый проект, принять участие в перспективном исследовании, или просто получить прибавку к зарплате.

    Чтобы у тебя не создалось неверного впечатления, замечу, что сертификат, конечно, не палочка-выручалочка, которая распахнет перед тобой все двери. Это лишь документ, подтверждающий твои профессиональные знания в определенных областях IT - и «в определенных областях» здесь ключевая фраза. Это немаловажный нюанс - нужно чувствовать грань разумного и понимать, что подход «а вот какой я крутой, у меня есть 15 разных бумажек!»

    Неверен в корне. Не стоит переводить качество сертификатов в количество. К человеку с пачкой сертификатов везде отнесутся с одинаковой настороженностью, одни решат, что ты распыляешься, другие могут даже задуматься о подлинности этого множества документов.

    Словом, сертифицироваться тоже нужно с умом, но об этом речь пойдет ниже. Во многих случаях сертификация является не только подтверждением твоих знаний, но и способом повышения квалификации, что опять-таки совсем не лишнее даже для самых скиллованых профессионалов.

    «Стоять на месте» и никак не совершенствоваться, особенно в такой области как IT - верный способ карьерного самоубийства. Многие компании-гиганты, имеющие свои программы по сертификации специалистов (Oracle, Microsoft, Cisco и т.д.), отмечают, что в ходе подготовки к тестированию, большинство участников этих программ получают новые знания и приобретают полезный опыт. К слову, на Западе найти высокооплачиваемую работу в крупной IT-компании, если ты не сертифицированный специалист, практически невозможно.
    В общем, как ни крути, плюсы от получения заветной бумажки налицо. Каковы минусы - спросишь ты? Минусы есть, но они не слишком страшны - во-первых, сертификация стоит денег, и порядок сумм варьируется от несколько сотен, до нескольких тысяч мертвых американских президентов (учти, если ты завалишь тест на сертификат, деньги тебе не вернут).

    Во-вторых, сертификаты имеют свойство устаревать, все же IT-среда стремительно развивается и меняется, так что сертификат 5-7 летней давности не самый лучший аргумент в пользу твоих знаний. В-третьих, к сертификации действительно нужно готовиться:).

    В остальном, думаю, ты уже уловил мысль и смекнул, что если сертификация - полезный и выгодный козырь даже для крутых профи, то уж простым смертным от нее и вовсе случается обширный profit. В определенных условиях сертификаты могут фактически заменить тебе диплом, а не дополнить его.

    Но, разумеется, обо всем этом стоит задумываться только в том случае, если ты ищешь в хорошооплачиваемую, интересную работу, с возможностью карьерного роста.

    А где?

    Первое, что стоит уяснить, это какие бывают сертификаты: они делятся на обязательные, и необязательные. Первые требуются там, где приходится работать с оборудованием несущим повышенную опасность для жизнедеятельности человека. Такие бумажки к нашей сегодняшней теме определенно не относятся, поэтому не будем на них задерживаться и перейдем к необязательным сертификатам. Спектр необязательных сертификатов так широк и разнообразен, что неподготовленного человека он может повергнуть в некоторый шок. Однако все совсем не так страшно, как кажется.

    Наиболее распространенная и вызывающая доверие система сертификации на сегодня, это так называемая международная IT-сертификация - получение «корочек» от самой компании-вендора того или иного продукта. То есть, лидерами в этом области на протяжении уже многих лет являются сами компании-гиганты рынка - топовые производители ПО, железа и так далее (Microsoft, Red hat, HP, Cisco, Oracle и иже с ними).

    Уже чувствуешь, что становится понятнее? Да, ты догадываешься совершенно верно - сертифицироваться стоит именно в той в той области, на которой ты сосредоточен, у конкретного вендора. Грубо говоря, если ты виндузятник - тебе в одну сторону, если линуксоид - в другую, а если дизайнер, так и вообще в третью.

    Не жди, что найдется возможность получить сертификат некоего «универсального специалиста», ни одна серьезная компания ничего подобного не предоставит, а вот узкоспециализированные штуки вроде Sun Certified Developer For Java Web Services - это, пожалуйста.
    Также замечу, что онлайновые сертификаты всех мастей, которых сейчас существует безумное количество, в большинстве своем совершенно бесполезны, поэтому тратить время и деньги на эту глупость нецелесообразно.

    Относительно же крупных IT-шных вендоров стоит сказать и еще кое-что. Почти любой сертификат от такой компании несет с собой и маленькие, но приятные бонусы. Наиболее распространенные плюшки, это льготные цены на продукцию компании (а иногда даже бесплатные дистрибутивы или железки), доступ к закрытым разделам для «тру спецов», возможность использовать лого компании-вендора на визитках и бланках, именные значки с твоим «званием», фирменные магнитики, ручки и другая чепуха.

    Конечно, перечислять все возможные направления IT-шной деятельности, с их многочисленными нюансами и ответвлениями, мы не станем - нельзя объять необъятное. Вместо этого представляем тебе краткую сводку по топовым программам сертификации на сегодняшний день.

    Microsoft

    «Мелкомягкие» везде и всюду, так что с ними нужно считаться. Их сертификаты, во всяком случае, базовые, сравнительно недороги (пара сотен долларов) и котируются на рынке труда, являясь довольно весомой бумагой.

    Система сертификации в MS делится на следующие уровни:

    • специалисты по технологии: программы сертификации, подтверждающие навыки ИТ профессионалов во внедрении, построении, устранении неполадок, и отладки конкретной технологии Microsoft;
    • профессионалы: программы сертификации, подтверждающие наличие специфичных для определенной должности навыков, выходящих за рамки знания технологии;
    • мастера: сертификация уровня «Мастер» подтверждает наличие у специалиста глубоких технических знаний конкретного продукта Microsoft;
    • архитекторы: программа Сертифицированный Архитектор помогает компаниям выявить опытных ИТ архитекторов, прошедших строгую процедуру отбора, проводимую наблюдательным советом.

    Существуют также отдельные сертификаты для преподавателей.

    Каждая ветка сертификации позволяет выбрать определенную специализацию, от аса по части Office 2007 до мастера Microsoft SQL Server 2008 и так далее.

    С полным описанием программ сертификации, списками самих сертификатов и другой полезной инфой можно ознакомиться по адресу www.microsoft.com/Rus/Learning/MCP/Default.mspx

    RED HAT

    Линуксоиды по части сертификатов тоже не обижены, и Red Hat, пожалуй, является лидером в этой области. Программа сертификации от «Красных шапок» доступна в более чем 40 странах мира, включая Россию. Эти ребята с радостью проверят твои скиллы в области Red Hat Enterprise Linux, Red Hat Linux и Fedora Core, а потом выдадут соответствующую бумагу.

    В Red Hat можно стать обладателем следующих «титулов»:

    • Red Hat Certified Technician (RHCT);
    • Red Hat Certified Engineer (RHCE);
    • Red Hat Certificates of Expertise;
    • Red Hat Certified Security Specialist (RHCSS);
    • Red Hat Certified Datacenter Specialist (RHCDS);
    • Red Hat Certified Architect (RHCA).

    Замечу, что сертификаты Red Hat хороши всем, кроме цены - зачастую счет здесь идет на приснопамятные тысячи долларов, это своего рода расплата за престижность бумажки и именитость Red Hat. Впрочем, высокими расценками, конечно, грешат не только «Красные шапки».

    За подробностями относительно программ сертификации от Red Hat сюда: www.europe.redhat.com/training

    LINUX PROFESSIONAL INSTITUTE (LPI)

    Еще одно удобство для линуксоидов - некоммерческая международная общественная организация Linux Professional Institute (LPI). Эти ребята сертифицируют системных администраторов GNU/Linux и GNU/Linux-программистов, без привязки к какому-либо конкретному дистрибу, что без сомнения является большим плюсом.

    Градация программы выглядит следующим образом. Два уровня базовых курсов:

    LPIC Level 1

    • 101: General Linux I;
    • 102: General Linux II.

    LPIC Level 2

    Для получения нужно сдать экзамены:

    • 201: Advanced Administration;
    • 202: Linux Optimization.

    И третий, продвинутый уровень:

    LPIC Level 3

    Для получения нужно сдать экзамены:

    • 321: Windows Integration;
    • 322: Internet Server;
    • 323: Database Server;
    • 324: Security, Firewalls, Encryption;
    • 325: Kernel Internals & Device drivers; Creating distribution packages;
    • 32x: Дополнительные экзамены по выбору.

    Все детали описаны на официальном сайте организации: www.lpi.org .

    CISCO

    Год за годом Cisco Systems поставляет на мировой рынок почти 80% маршрутизаторов, что делает их одним из крупнейших игроков на рынке сетевого оборудования. Также за Cisco уже давно закрепилось звание одного из лидеров в области сетевых технологий, а их программа сертификации обширна и проверена временем. Как не трудно догадаться, в Cisco выдают «грамоты» сетевым специалистам всех мастей. Как в Microsoft и ряде других компаний, здесь существует несколько уровней сертификации: Entry, Associate, Professional, Expert, а также отдельная сертификация Specialist. Наиболее престижным и дорогим среди них является сертификат CCIE (Expert).
    Далее идет деление по семи направлениям: Routing & Switching, Design, Network Security, Service Provider, Storage Networking, Voice, и Wireless.

    Сертификации от Cisco отличает редкая степень зубодробильности, так что без серьезной подготовки (то есть, скорее всего - курсов) пройти их вряд ли получится. В итоге, драгоценная бумага может обойтись тебе в пару тысяч вечнозеленых денег.

    COMPTIA (Computing Technology Industry Association)

    Приятным исключением из нашего небольшого списка являются программы сертификации от CompTIA. Дело в том, что в отличие от полка вендоров, это независимые ребята с 28-летней историей и мировым именем.
    Сертифицирует CompTIA по следующим направлениям:

    • CompTIA A+ (сертификат общего характера, для начинающих IT-спецов);
    • CompTIA Network+;
    • CompTIA Security+;
    • CompTIA Server+;
    • CompTIA Linux+;
    • CompTIA PDI+;
    • CompTIA RFID+;
    • CompTIA Convergence+;
    • CompTIA CTT+;
    • CompTIA CDIA+;
    • CompTIA Project+.

    Интересно и то, что здесь позаботились не только о хардкорных гиках - в активе компании также имеются сертификат IT Fundamentals, подтверждающий базовые знания компьютерных премудростей, сертификат для людей, работающих в области IT продаж - IT for Sales, и даже сертификат Green IT, который жизненно необходим каждому гринписовцу.

    ORACLE

    Совсем недавно Oracle приобрел компанию Sun Microsystems, так что здесь теперь предоставляют целый ворох сертификатов - к собственным программам Oracle добавились, как минимум, сертификаты для Java специалистов. Сертификация же «Оракла» делится на следующие уровни: Certified Associate, Certified Professional, Certified Master, Special Accreditation, Certified Expert Program и Certified Specialist.

    Перечислять все «звания», которые можно получить, а также области, в которых выдаются сертификаты, не будем - слишком объемно, вместо этого лучше держи неудобную ссылку на официальные данные: www.education.oracle.com/pls/web_prod-plq-dad/db_pages.getpage?page_id=39

    1C

    Отечественный 1С попал в этот список вовсе не по ошибке. Все же, мы живем в России и далеко не каждый IT-шник непременно стремится найти работу за рубежом. А у нас, как это ни странно, 1С используется повсеместно, и спецы в этой области, вполне предсказуемо, востребованы.

    Ну и, разнообразия ради, этому списку не помешает хотя бы один российский вендор:). Сертификат «1С:Профессионал» будет являться официальным подтверждением того, что его владелец может эффективно использовать в своей работе весь спектр возможностей «1С:Бухгалтерия».

    Сертификация на данный момент проводится по системам «1С:Предприятие 8» и «1С:Предприятие 7.7».
    Официальная информация: www.1c.ru/prof/prof.htm

    Adobe

    Выше я уже упомянула дизайнеров, так что этот пункт как раз для них и их коллег, если они нас читают.
    Adobe Systems Incorporated, само собой, не могла остаться в стороне, когда другие крупные производители ПО один за другим открывали программы сертификации.

    В Adobe можно получить три сертификата: Adobe Certified Expert (ACE), Adobe Certified Associate (ACA) и Adobe Certified Instructor (ACI).
    ACE - это эксперт в области какого-то одного или нескольких продуктов Adobe, ACA - оценивает способности кандидатов в создании, управлении и интеграции обычных и мультимедиа данных при использовании приложений Adobe, ну а ACI, понятное дело, сертификат для инструкторов и учителей.

    А как?

    Теперь, когда ты имеешь общее представление о лучших программах сертификации, существующих на рынке, пришло время поговорить о том, как же стать гордым обладателем вышеописанных или других сертификатов.

    Как ты понимаешь, 99% вендоров, это компании западные и держать в России филиал, занимающийся сертификацией, подготовкой к ней и так далее, им, зачастую, неинтересно, невыгодно или не нужно. Однако отчаиваться и пугаться не стоит, у нас, тем не менее, имеется целый ряд мест, где можно пройти подготовку и сдать сами экзамены - авторизованные курсы и сертификацию все-таки никто не отменял.

    В вопросе поиска учебного центра или провайдера сертификационных услуг следует быть предельно осторожным и бдительным - в последнее время в сети процветают десятки сомнительных ресурсов, которые с радостью попытаются всучить себе свой, «неимоверно крутой» сертификат, с которым можно разве что сходить в туалет, или умело прикинуться официальными партнерами известных компаний.
    В свою очередь наиболее проверенными и зарекомендовавшими себя местами для прохождения сертификации и повышения квалификации у нас являются:

    • Центр компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана: www. specialist.ru ;
    • МГУ, при котором имеется «Учебный центр ВМК МГУ & Softline Academy»: www.ituniversity.ru .

    Не стоит забывать и провайдеров сертификации мирового уровня, имеющих филиалы в разных странах, включая Россию. Например, Thomson Prometric: www.prometric.com и VUE: www.vue.com .

    Что касается подготовки к экзаменам, то каждый отдельный сертификат, в каждой области требует очень индивидуального подхода, поэтому советы общего характера здесь вряд ли будут уместны. Сказать точно можно лишь одно - придется заниматься, готовиться, тратить на это время, деньги, штудировать литературу, и возможно, посещать курсы. Одним словом, «студенческие годы strike back», по полной программе.

    Вся подробная информация, касающаяся подготовки к тестам (в основном сертификационные экзамены выполнены именно в виде тестов), их содержания и других важных мелочей, как правило, доступна на сайте самого вендора сертификата. Часто там можно встретить даже списки рекомендованной литературы.

    Также помни о том, что в инете есть всевозможные симуляторы экзаменов, благодаря которым можно неплохо потренироваться перед сдачей, проверив свежеприобретенные знания.

    Если ты полагаешь, что уважающему себя IT’шнику нужны лишь сертификаты в области IT, ты не прав. К примеру, в качестве приятного бонуса к резюме неплохо будет получить также языковой сертификат, подтверждающий, что ты на достойном уровне владеешь каким-либо иностранным языком.

    Если говорить об английском, то для этих целей неплохо подойдут, к примеру, IELTS: International English Language Testing System, или популярный в России TOEFL: Test of English as a Foreign Language.

    • По поводу первого можно почитать здесь: www.ielts.org
    • По поводу второго здесь: www.toefl.org

    Если позволяют возможности, ярким штрихом к резюме может послужить и какой-то необычный, но уважаемый на рынке сертификат. В качестве примера хорошо подойдет сертификат общества Mensa - крупнейшей и старейшей на нашей планете организации для людей с высоким коэффициентом интеллекта. «Менса» общество некоммерческое и открытое, но членство в нем дает возможность ощутить себя самой настоящей элитой - чтобы попасть туда, нужно под пристальным наблюдением комиссии, сдать IQ тест лучше, чем 98% населения Земли. Задачка, конечно, не самая легкая, но более 100 тыс. человек с ней как-то справились:).

    Еще одна забавная и не совсем обычная на первый взгляд бумага - сертификат этичного хакера (Certified Ethical Hacker), придуманный International Council of E-Commerce Consultants (EC-Council). Этичные хакеры ребята, в сущности своей добрые - по заказу компаний они тестируют продукты на уязвимости, стараясь взломать их и, таким образом, найти дырки и баги.

    Продолжая начатую в прошлой заметке тему кадров в банковской информационной безопасности (ИБ), хотел бы посмотреть на нее с другой стороны, а точнее, с позиции Банка России, который тему повышения квалификации специалистов по ИБ взял под свой особый контроль. Впервые об этом упомянули в текущем году на Уральском форуме по ИБ банков, и руководство Главного управления безопасности и защиты информации Банка России в интервью газете «Ведомости» подтвердило это.

    Конкретика стала появляться после апрельского заседания Госдумы, посвященного стратегии развития финансового рынка, где первый заместитель председателя правления ЦБ Сергей Швецов говорил об обязательности подтверждения своей квалификации по вопросам кибербезопасности для сотрудников банков.

    Выдавать сертификаты по специальностям сегодня могут только 13 аккредитованных ЦБ учебных центров

    По его словам, «сегодня ЦБ позволяет получить сертификаты по семи направлениям деятельности. Все эти семь направлений касаются рынка ценных бумаг». Обязательные сертификаты требуются от специалистов, осуществляющих брокерскую, дилерскую, клиринговую, депозитарную деятельность; отвечающих за управление ценными бумагами, инвестиционными фондами, ПИФами и НПФ, проведение организованных торгов, ведение реестра владельцев ценных бумаг, специализированных депозитариев, деятельность НПФ. Выдавать сертификаты по этим специальностям сегодня могут только 13 аккредитованных ЦБ учебных центров.

    По мнению Сергея Швецова, «этого, безусловно, недостаточно. Мы как минимум, еще три сертификата хотим ввести: управление активами, внутренний аудит и кибербезопасность ». Это означает только одно: от специалистов по ИБ, желающих пойти на работу в банк, потребуется обязательное подтверждение своей квалификации (что делать уже работающим специалистам, вопрос пока открытый), которое может быть оформлено только в специализированном учебном центре.

    Такое внимание регулятора отражает высокоуровневые опасения ЦБ относительно кибербезопасности финансовых рынков России, что и требует новых компетенций от банковских специалистов. На Уральском форуме у Швецова была очень интересная презентация , посвященная взгляду финансового регулятора на эту проблему.

    Какие знания необходимо иметь будущему банковскому безопаснику? Об этом пока неизвестно, но Сергей Швецов в своем выступлении даже упомянул, что по инициативе ЦБ сейчас переводится некий лондонский курс по кибербезопасности, который может в долгосрочной перспективе (пять лет) стать обязательным для сотрудников, мечтающих пойти в банковскую сферу. Пример Великобритании в данном контексте не случаен. По словам Шевцова на заседании Госдумы, именно британский выпускник, закончивший высшее учебное заведение либо уже поработавший в финансовой организации, если он желает продолжить карьеру, должен получить дополнительное финансовое образование по одному из 59 направлений деятельности, включая и кибербезопасность. Этот опыт Банк России хочет перенять и внедрить у нас.

    Согласно недавно опубликованным данным компании Pricewaterhouse Coopers, источниками кибератак в финансовом мире в 44% случаев являются собственные, а в 28% бывшие сотрудники банка. Хакеры заняли почетное третье место с 26%, а финальную позицию в опросе заняли конкуренты с 20%. Иными словами, хакеры не являются основным источником угроз для финансовых организаций.

    Список тех, кто сможет обучать банкиров по вопросам кибербезопасности, еще не определен, и я могу предположить, что за аккредитацию в Банке России будет жесткая конкуренция. Сегодня 13 учебных центров, аттестующих специалистов по ценным бумагам, не проводят обучения по информационной безопасности и не имеют квалифицированных преподавателей нужного профиля в своем составе. В то же время традиционные центры обучения вопросам защиты информации не имеют опыта аккредитации в Центробанке, так как эта деятельность исторически регулировалась Федеральной службой по техническому и экспортному контролю (ФСТЭК) или Федеральной службой безопасности (ФСБ), которые и согласовывали программы обучения специалистов по кибербезопасности.

    Банки увольняют своих безопасников, а финансовый регулятор, наоборот, ужесточает требования к их компетенциям

    Также неизвестно, когда новые требования по сертификации специалистов будут введены. В отношении управления активами и внутреннему аудиту разговоры идут о том, что требования станут обязательными в течение двух с половиной лет. Применительно к кибербезопасности Сергей Швецов в Магнитогорске говорил о пятилетнем периоде, и я думаю, стоит ориентироваться именно на такой срок. Получается парадоксальная ситуация: банки увольняют своих безопасников, а финансовый регулятор, наоборот, ужесточает требования к их компетенциям, тем самым показывая важность этой профессии для обеспечения стабильности финансовой системы Российской Федерации.

    Однако ждать пять лет, когда ЦБ раскроет все секреты и расскажет, какими знаниями и компетенциями должен будет обладать банковский безопасник, не придется. Уже сейчас Банк России в рамках основанного им при Ростехрегулировании Технического комитета №122 (ТК 122) по стандартизации финансовых услуг готовит рекомендации по квалификационным требованиям к специалистам по ИБ в кредитно-финансовых организациях.

    Пока это проект, структура его понятна. Совокупность требований, предъявляемых к специалистам по обеспечение ИБ организаций кредитно-финансовой сферы РФ, включает требования к:

    • уровню базового образования;
    • направлениям специализации и опыту работы;
    • подготовке по видам деятельности;
    • совокупным профессиональным знаниям и навыкам.

    Иными словами, обычного высшего образования даже в области информационной безопасности будет явно недостаточно для того, чтобы рассчитывать на аттестацию и последующий прием на работу в банковскую службу ИБ. Когда-то я уже писал об альтернативном курсе по ИБ для современного безопасника, указывая те дисциплины, которых явно не хватает современным выпускникам вузов, которых готовят по федеральным государственным образовательным стандартам в области защиты информации. Не могу сказать, что все изложенные три года назад мысли войдут в портфель новых знаний банковских специалистов по ИБ, но многие дисциплины уж точно.

    Пока остается без ответа целый ряд вопросов. Ответы на них мы получим в среднесрочной перспективе - два-три года

    Пока остается без ответа целый ряд вопросов. Будет ли переходный период в части новых требований? Какова будет судьба действующих банковских безопасников, которые по каким-то причинам не соответствуют требованиям и не имеют нужных сертификатов? Думаю, ответы на них мы получим в среднесрочной перспективе - два-три года. Упомянутый же выше проект рекомендаций, скорее всего, примут до конца этого календарного года. А пока стоит заняться повышением квалификации. Пять лет, о которых говорил первый зампред Банка России Сергей Швецов, не такой уж и большой период, который надо суметь потратить с пользой. Все-таки многие дисциплины, которые понадобится изучать будущей элите банковской ИБ, требуют немало времени, которого в современном динамичном мире безопасности явно не хватает.

    В результате повышенного внимания к вопросам информационной безопасности растет потребность компаний в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя наличие сертификата не говорит о реальном уровне знаний человека, до сих пор во многих компаниях действует принцип «по одежке встречают».

    Именно поэтому многие специалисты так стремятся получить заветную бумажку, которая, как они думают, может открыть им двери во многие российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования. Можно выделить четыре основные причины, которые влекут российских специалистов за каким-либо сертификатом по информационной безопасности.

    Во-первых, подтверждение собственной квалификации (для себя «любимого»). Иногда это просто тщеславие и желание «похвастаться» перед окружающими. Во-вторых, возможность повышения зарплаты и большие возможности карьерного роста (в т.ч. и получение работы за границей). В-третьих, наличие сертификата может являться обязательным требованием при приеме на работу, но пока это редкое явление. В-четвертых, сертификат — это приобщение к сообществу специалистов.

    На сегодняшний день существует две различных схемы сертификации специалистов в области безопасности, аналогичные схемам обучения. Первая схема не привязана ни к каким продуктам и охватывает различные аспекты той или иной технологии информационной безопасности. К такой схеме сертификации относится Certified Information System Security Professional (CISSP) или Certified Information System Auditor (CISA). Не менее известной является сдача экзаменов на получение статуса Certified Information Systems Auditor (CISA) в Information Systems Audit and Control Association (ISACA). Специалист, сертифицирующийся по второй схеме, зависит от конкретного продукта или решения, предложенного конкретной компанией. По такой схеме работают компании Cisco, Microsoft и другие. Существуют и смешанные системы сертификации.

    Программа CISSP была разработана международным консорциумом по сертификации в области безопасности информационных систем (International Information Security Systems Certification Consortium, ISC2). Для получения данного статуса необходимо сдать экзамен, однако возможность сдать его имеет не каждый специалист, а только тот, кто обладает не менее 3-хлетним опытом работы в этой области (эта информация проверяется при регистрации на экзамен). Это достаточно стандартное требования для всех значимых сертификаций, что позволяет отсечь новичков.

    Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется новыми. Самое важное, что текущий экзамен (кстати, сдается он на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях. Кроме того, в отличие от других систем сертификации в области информационной безопасности, он не привязан ни к какому конкретному производителю, что позволяет говорить о его независимости.

    Экзамен на получение сертификата CISSP длится 6 часов и состоит из 250 вопросов, сгруппированных в 10 тем (т.н. доменов):

    • разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.);
    • сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и т.п.);
    • процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);
    • разработка безопасных приложений (вредоносный код, разработка ПО);
    • криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);
    • архитектура безопасности (модели безопасности и ее оценки, Общие критерии и т.д.);
    • эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т.п.);
    • непрерывность бизнеса (оценка ущерба, восстановление работоспособности);
    • законодательство (законы, расследование инцидентов);
    • физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).

    Сдав экзамен, вы получаете сертификат, однако свой статус придется каждые 3 года. Это можно сделать двумя способами: повторной сдачей экзамена или «добычей» 120 так называемых кредитов, которые «зарабатываются» написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т.п.

    Аналогичная схема действует и для многих других сертификаций по информационной безопасности и она оправдана — технологии и ситуация на рынке меняется очень быстро. А значит «почивать на лаврах» не придется — необходимо заниматься самообразованием и быть всегда в курсе последних новинок в данной области.

    На сегодняшний день интерес к этому статусу в России очень высок. Если до 2003 года в России насчитывалось всего 2 сертифицированных эксперта, то сегодня на сайте ISC2 размещено 33 резюме тех, кто согласился открыть информацию о себе — реально же их в 1,5-2 раза больше, и это число будет только расти.

    Аудиторию для данной сертификации составляют средний и высший уровень руководства в области информационной безопасности — архитекторы по безопасности, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.

    Статус Systems Security Certified Practitioner (SSCP) был разработан консорциумом ISC2 для тех, кто пока не может сдать экзамен на статус CISSP или только готовится к нему, а также для тех, кто не стремится на руководящие позиции и ему не требуется более высокий статус от ISC2. Учитывая одного прародителя, сертификация SSCP очень похожа на CISSP за небольшим исключением. Во-первых, вместо 10-ти доменов экзаменуемые проверяются всего по 7-ми: разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.), безопасность данных, администрирование безопасности, криптография, аудит и мониторинг, вредоносное ПО, управление рисками, реагирование и восстановление.

    Во-вторых, число вопросов сокращено вдвое — до125, также вдвое сокращено и время на экзамен — до 3 часов. И, наконец, для сдачи данного экзамена необходим опыт работы в течение 1-го года по специальности (вместо трех).

    В обоих случаях (CISSP и SSCP) получению статуса предшествует подписание этического кодекса поведения (Code of Ethics), который описывает, как себя должен вести обладатель престижного сертификата. Такое требование является обязательным при получении многих сертификатов, например, CISA.

    Учитывая, что статус SSCP является только остановкой на половине пути к CISSP и то, что появился он позже последнего, то абсолютное большинство российских специалистов стремится именно к CISSP — на сайте ISC2 зарегистрирован только один российский обладатель сертификата SSCP.

    Специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты.

    В 1969 году была основана Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), которая на сегодня является признанным лидером в управлении, контроле и поддержке информационных систем, продвижении открытого стандарта CoBIT и ратует за стандартизацию в области ИТ. Основная цель ассоциации — исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

    Для того, чтобы контролировать соблюдение требований стандартов по управлению ИТ-инфраструктурой, ISACA (http://www.isaca.org/) предложила в 1978 году программу подготовки и сертификации аудиторов информационных систем (Certified Information Systems Auditor, CISA). Сегодня это самая известная программа подготовки внешних аудиторов (для внутренних аудиторов существует сертификация CIA от IIA). На сегодня статусом CISA обладают около 48000 аудиторов по всему миру.

    Экзамен на получение данного статуса очень похож на CISSP — содержит 200 вопросов и занимает 4 часа. Различие состоит в темах, которые рассматривают в рамках курса подготовки и на экзамене. В данном случае внимание уделяется процессу аудита информационной системы (10 % всех вопросов), управлению ИТ-инфраструктурой (15 % вопросов), управлению жизненным циклом системам и инфраструктурой (16 %), доставке и поддержке ИТ-сервисов (14 %), защита информационных активов (31 %) и непрерывности и восстановлению бизнеса (14 %).

    Как и в предыдущих сертификациях, для ее получения необходимо подписать соответствующий этический кодекс и обладать пятилетним опытом работы в области аудита, управления или безопасности. Требование 5-ти лет может быть снято, если кандидат обладает опытом проведения финансового аудита, 2 года был инструктором или имеет степень в университете, аккредитованном ISACA. Каждые 3 года статус CISA должен быть подтвержден.

    Аудитория для данной сертификации: ИТ-аудиторы, аудиторы информационной безопасности, сотрудники компаний-интеграторов.

    CISM

    У сертификата Certified Information Security Manager (CISM) интересная история. Он был разработан ассоциацией ISACA, которая к тому моменту уже имела другую сертификацию — CISA. На сайте ISACA приводится такая причина появления статуса CISM: «сертификат CISSP является стандартом де-факто в области информационной безопасности, но за его долгую историю выявились определенные недоработки данной квалификационной схемы. Поэтому и появился статус CISM, который позволяет увязать информационную безопасность со стратегией развития бизнеса компании». Исходя из этого, можно сделать вывод, что сертификаты CISM и CISSP конкурируют между собой, хотя содержание данных двух программ различается очень сильно. Достаточно сравнить 10 доменов CISSP с содержанием программы CISM — никакой техники, только управление: связь стратегии ИБ с требованиями бизнеса (21 % всех вопросов), идентификация и управление рисками безопасности, влияющими на бизнес-цели (21 %), управление программой ИБ (21 %), направление всех активностей, связанных с ИБ (24 %), управление программой управления рисками и BCP (13 %).

    Из программы видно, что далеко не каждый «технарь» способен пройти данную сертификацию. Неслучайно, чтобы получить статус CISM необходимо трудиться по части информационной безопасности не менее 5 лет и 3 из них в области управления.

    Аудитория для данной сертификации: средний и высший уровень руководства в области информационной безопасности — CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.

    GIAc

    Институт SANS (System Administration, Networking and Security Institute) считается одним из признанных авторитетов в области безопасности. Помимо различных курсов, тренингов, публикаций и исследований, при SANS создан специальный центр анализа инцидентов (Global Incident Analysis Center, GIAc), который наряду с другой своей деятельностью предлагает и сертификацию технических специалистов по безопасности.

    GIAc предлагает 3 уровня подтверждения своей квалификации — GSEc (базовый уровень), GCFW/GCIA/GCIH/GCNT/GCUX и GSE. В отличие от множества других технических сертификаций GIAc поступил разумно и выделил несколько направлений развития своих выпускников. Это межсетевые экраны, защита периметра и VPN — GIAc Certified Firewall Analyst — данный статус необходимо подтверждать каждые 4 года. Обнаружение атак — GIAc Certified Intrusion Analyst — данный статус необходимо подтверждать каждые 4 года. Управление инцидентами — GIAc Certified Incident Handling — данный статус необходимо подтверждать каждые 2 года. Уменьшение времени на ресертификацию связано с быстрым изменением ситуации на рынке «хакерских технологий» и необходимость соответствовать всем современным тенденциям. Безопасность Windows — GIAc Certified Windows Security — данный статус необходимо подтверждать каждые 2 года. Безопасность Unix — GIAc Certified Unix Security — данный статус необходимо подтверждать каждые 2 года.

    Если вы хотите стать обладателем самой высокой ступени GIAc в области информационной безопасности — GSE (GIAc Security Engineer), то вам надо сделать совсем «чуть-чуть» — получить базовый статус GSEc и к нему еще все пять вышеперечисленных сертификаций — GCFW, GCIA, GCIH, GCNT и GCUX. Данная сертификация практически неизвестна в России, но на Западе она имеет такой же статус для технических специалистов, что и CISSP для руководителей служб информационной безопасности.

    Такая трехуровневая схема является одной из самых правильных — постепенно наращивается потенциал как в знаниях и практике, так и в статусе. Например, у компании Cisco такая же наращиваемая схема сертификации специалистов по безопасности — Cisco Qualified Security Specialist, Cisco Certified Security Professional (CCSP) и Cisco Certified Internetworking Expert (CCIE Security). У других вендоров уровней обычно всего два — администратор и инженер (или профессионал и эксперт).

    Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты, сотрудники групп реагирования на инциденты, ведущие специалисты по безопасности.

    Что выбрать?

    На этот вопрос вам никто не ответит кроме вас самих. Ваша будущая сертификация зависит от того, в какую фирму вы планируете и по какому профилю. Например, если вы пойдете в российскую фирму-разработчика средств защиты, то вам ни один из перечисленных ваше сертификатов не потребуется. Если ваша цель — компании большой четверки, то без CISA (а для Ernst&Young еще и CISSP) вам не обойтись. Если вы стремитесь управлять процессами информационной безопасности у своего работодателя, то здесь вам понадобится CISSP или CISM. И, наконец, если вы просто хотите быть хорошим администратором безопасности или входить в группу реагирования на инциденты, то лучше сконцентрироваться на получении «вендорских» сертификатов, SSCP или GIAc . Если же вы юрист и хотите заниматься расследованиями компьютерных преступлений, то вам понадобятся сертификаты, о которых выше не говорилось: CCCI (Certified Computer Crime Investigator), CCFT (Certified Computer Forensic Technician), CCCP (Certified Computer Crime Prosecutor) или CCCA (Certified Computer Crime Attorney). Иными словами, вы должны понимать вашу текущую роль и по какому пути вы пойдете в обозримом будущем.

    Не стоит забывать, что сертификат только подтверждает ваши знания, а не наоборот. В конце концов, может статься, что если вы сотрудник первого отдела или специалист по борьбе с мошенничеством, то вам скорее подойдет сертификат CCO (Certified Confidentiality Officer) от частного агентства BECCA (Business Espionage Controls Countermeasures Association) или CFE (Certified Fraud Examiner) от ACFE (Association of Certified Fraud Examiners) соответственно. Эти сертификаты не являются общепризнанными и вряд ли знакомы большинству HR-менеджеров, но зато подготовка к их получению даст вам действительно полезные и нужные на вашей позиции знания.

    Стоит ли так стремиться к сертификату? Некоторые готовы построить свой профессиональный и карьерный рост только через призму своего таланта — им не нужны никакие сертификации. Да и многие консультанты по карьере рекомендуют получать не сертификаты, а опыт работы в какой-либо крупной и «серьезной» компании, что гораздо больше влияет на карьеру и рост зарплаты, чем наличие какого-либо статуса. Но и сертификат не является совсем уж бесполезной вещью. Если у вас нет опыта работы в Cisco, IBM, Ernst&Young и вы не уверены в силе своего таланта, то «бумага с печатью» лишней не будет. Надо помнить, что когда резюме смотрит сотрудник отдела кадров, то у него перед глазами только 4-х и 5-ти буквенные аббревиатуры — опыт по информационной безопасности в резюме не покажешь. Поэтому при наличии сертификата шансы на первое интервью возрастают. А вот на первом и последующих интервью сертификат уже не будет играть столь важную роль. Хороший менеджер по персоналу будет обращать внимание на немного другие характеристики кандидата — умение работать в команде, мотивация, понимание корпоративных ценностей, готовность к обучению и т.д.

    Информационная безопасность сегодня является одной из самых актуальных проблем ИТ-индустрии, и большинство руководителей компаний рано или поздно осознают, что главным вопросом здесь является не наличие тех или иных технологий, не говоря уже о продуктах, а высокий профессиональный уровень соответствующих специалистов. Чтобы не ошибиться в выборе будущего сотрудника, следует прежде всего обращать внимание на то, имеет ли он сертификацию по информационной безопасности. Хотя споры о том, насколько сертификация отражает реальную способность специалиста решать поставленные задачи, продолжаются и до сих пор, но пока что не существует лучшего механизма для оценки его возможностей. Тем более что практический опыт, иногда противопоставляемый формальной сдаче сертификационных экзаменов, уже давно является требованием хорошей сертификации.

    Значении повышения квалификации и сертификации специалистов по информационной безопасности свидетельствуют финансовые показатели. По данным отчета IDC за прошлый год, 40% топ-менеджеров примерно из тысячи ведущих компаний причисляли информационную безопасность к главным приоритетам своих бюджетов, а оплата соответствующих специалистов стабильно занимает первые строчки в списках оплаты квалифицированных ИТ-специалистов. И, надо отметить, эти вложения окупаются. Так, согласно обзору CompTIA 2004, охватывающему 900 компаний, те из них, которые инвестируют средства в подготовку и сертификацию своего персонала по информационной безопасности, менее уязвимы в части защиты информации: 80% компаний, вложивших деньги в обучение персонала, и 70% компаний, потратившихся на сертификацию специалистов по защите, почувствовали улучшение корпоративной защиты информации. Требования по подготовке в области информационной безопасности для вновь принимаемых на работу ИТ-специалистов в минувшем году предъявлялись в 28% организаций против 18% в 2003-м.

    Сертификации по информационной безопасности можно разделить на два типа — вендорские и вендоронезависимые.

    Вендорские сертификации , первоначально появившиеся как составляющие маркетинговых программ вендоров, до сих пор удерживают довольно сильные позиции. Такие признанные производители систем и технологий защиты, как Cisco, ISS, Symantec, CheckPoint и др., имеют собственные линейки сертификаций (как правило, трехступенчатые), которые соответствуют разным уровням применения продукта/технологии, экспертного знания и построения решений на основе продуктов данной компании. По престижности (и величине оплаты сертифицированных специалистов) здесь лидируют сертификации Cisco, характеризующиеся также значительными вложениями в подготовку. Самые крупные вендоры ИТ-отрасли, а именно Microsoft, Sun, Computer Associates, 3СОМ, Nortel Networks и т.д., тоже предлагают специализации по защите в рамках своих сертификационных программ, но рассчитаны они скорее не на собственно специалистов по защите, а на инженеров, администраторов и т.д. В целом вендорские сертификации адекватно отражают функции технического персонала по эксплуатации или реализации отдельных подсистем защиты, хотя сегодня подобная сертификация уже не является достаточной для специалиста по информационной безопасности.

    Вендоронезависимая сертификация подразумевает, что сертифицированный специалист способен оптимально организовать комплексную информационную безопасность организации и обеспечить ее поддержку путем сочетания различных методов и технологий. Данный уровень предполагает всесторонний подход к информационной безопасности: от специалиста требуются знания технических и управленческих аспектов защиты, а также владение широким спектром самых разных вопросов — от криптографии до физической защиты. Высшие сертификации данного типа обладают и рядом дополнительных условий — это, в частности, опыт работы в течение нескольких лет непосредственно в качестве специалиста по информационной безопасности, регулярное обучение и др.

    Согласно уже упоминавшемуся обзору CompTIA, 68% респондентов предпочитают вендоронезависимый тип обучения и сертификации специалистов по информационной безопасности, а большинство остальных считают, что вендоронезависимые обучение и сертификация должны дополнять вендорские.

    В данной статье мы ограничимся рассмотрением вендоронезависимых сертификаций, которые, в свою очередь, можно условно разделить на сертификации начального, среднего и высшего уровней.

    Лидерство по числу сертифицированных специалистов среди сертификаций начального уровня (12 тыс. специалистов из более чем 115 стран) принадлежит CompTIA Security+ — известной международной ассоциации Computing Technology Industry Association (CompTIA, www.comptia.org). Данная сертификация гарантирует знание специалистом защиты информации на фундаментальном уровне. Для сертификации необходимо сдать экзамен и иметь не менее 2 лет опыта работы в области сетевых технологий.

    Как пример и один из лучших вариантов сертификации среднего уровня можно привести сертификацию SANS GSEC (SANS — SysAdmin, Audit, Network, Security; GSEC — Security Essentials Certification). SANS Institute (www.sans.org) входит в число самых известных в мире и солидных источников информации, обучения и сертификации по информационной безопасности. С 1999 года SANS Institute ведет программу Global Information Assurance Certification (GIAC), а GSEC является одной из сертификаций GIAC (более 3 тыс. специалистов) и ориентирована на начинающих специалистов по информационной безопасности, имеющих опыт работы с системами и сетями. GSEC гарантирует подготовку специалиста по позициям, связанным с техническими аспектами защиты.

    А теперь перейдем к высшим сертификациям — ISACA CISM, SANS GIAC Specialist/Expert и CISSP.

    Сертификат CISM (Certified Information Security Manager) присваивается ассоциацией Information Systems Audit and Control Association (ISACA, www. isaca.org), известной как ведущая профессиональная организация специалистов по управлению информационными системами по их контролю, аудиту и безопасности. Эта ассоциация, основанная в 1967 году, имеет в своем составе десятки национальных отделений (в том числе в России) и занимается исследованиями, стандартами в предметной области (в частности, ей принадлежит известный стандарт CObIT), профессиональной сертификацией специалистов. Основной сертификацией для членов ISACA является сертификация CISA (Certified Information Systems Auditor), насчитывающая более 35 тыс. специалистов, а сертификация CISM впервые проводилась в прошлом году, но на данный момент по CISM сертифицировано уже около 5 тыс. специалистов (правда, около половины из них получили ее в наследство от CISA).

    Сертификация CISM ориентирована на опытных управленцев системами/структурами информационной безопасности. Сертификат CISM подтверждает, что специалист имеет надлежащие знания, опыт и способен эффективно управлять защитой информации в организации или консультировать по вопросам управления в указанной области. Можно сказать, что CISM скорее является менеджмент-сертификацией в определенной предметной области и сфокусирована на управлении рисками информационных систем, хотя сертифицированный специалист владеет принципами и методами защиты информационной системы на концептуальном уровне.

    Для сертификации CISM необходимо сдать экзамен, подписать кодекс профессиональной этики ISACA и подтвердить наличие опыта работы в предметной области. Экзамен проводится раз в год (обычно в июне) в один и тот же день по всему миру и состоит из 200 вопросов в письменном виде. Кстати, подобная бумажная технология является характерной чертой высших сертификаций, поскольку позволяет максимально обезопасить от компрометации материал экзамена. Экзамен длится 4 часа, плата за него составляет 450-500 долл. Тематика экзамена: регулирование в информационной безопасности (21%), управление рисками (21%), управление программой информационной безопасности (21%), управление защитой информации (24%), управление реагированием (13%). Для сертификации требуется опыт работы в области информационной безопасности не менее 5 лет, причем не менее 3 лет по управлению защитой в тех областях, которые перечислены как темы экзамена. В зачет 1-2 лет общего опыта в информационной безопасности могут идти различные сертификаты (Security+, SANS GIAC, CISA и др.), но это не отменяет 3-летнего срока работы по управлению защитой. Сертификацию необходимо подтверждать посредством постоянного профессионального обучения (не менее 120 часов обучения каждые 3 года и не менее 20 часов в год) по одобренным ISACA программам. Для подготовки к экзамену работают курсы, проводимые ISACA во время конференций и в отделениях ассоциации.

    В целом сертификация CISM оценивается как одна из лучших для управленцев, работающих в области обеспечения информационной безопасности.

    Сертификация SANS GIAC Specialist входит в состав программы GIAC SANS Institute, и на данный момент сертифицировано около 7 тыс. специалистов. В процессе сертификации проверяется не только знание кандидатом определенной области, но и его способность применить это знание на практике, вследствие чего в исследовании Gartner Group отмечена предпочтительность GIAC для тех, кто связан с техническими вопросами защиты.

    Сертификации GIAC Specialist проводятся по различным направлениям: обнаружение вторжения, межсетевые экраны и защита периметра, обработка инцидентов, безопасность операционных систем; соответственно присваиваются квалификации GIAC Certified Intrusion Analyst (GCIA), GIAC Certified Firewall Analyst, GIAC Certified Incident Handler, GIAC Certified Windows Security Administrator, GIAC Certified UNIX Security Administrator. Стоимость прохождения сертификации — 800 долл. Для сертификации необходимо в течение 5 месяцев выполнить практическое задание (проект), затем в течение месяца сдать два онлайн-экзамена, каждый из которых состоит из 75 вопросов, а на ответы отводится по 2 часа. Например, программы экзаменов GIAC Certified Firewall Analyst включают такие вопросы, как бизнес-потребности и защита, фрагментация в IP, транспорты и службы IP, TCPdump, WINdump, анализаторы, статическая фильтрация пакетов, фильтрация и инспекция пакетов с контролем состояния, прокси-серверы, углубленные знания распространенных межсетевых экранов, реализация защиты при помощи маршрутизаторов Cisco, обнаружение вторжения, централизованное протоколирование, анализ журналов межсетевых экранов, сообщения при протоколировании, IPSec, SSL, SSH, построение защищенного периметра, актуальный инструментарий, узловой и сетевой аудит и др. Каждые 2 или 4 года (в зависимости от направления) обладатель сертификата должен сдавать подтверждающий онлайн-экзамен, стоимость которого составляет 120 долл.

    Сертификация GIAC Security Expert является высшей ступенью программы GIAC. После сертификации по пяти позициям (причем не менее чем по одной с баллом более 90%) GIAC Specialist должен сдать устный экзамен, выполнить ряд практических заданий, сдать письменный экзамен, построенный по принципу сценария, и выполнить устную презентацию на тему по своему выбору.

    SANS GIAC Specialist/Expert являются высшими сертификациями для специалистов по безопасности, работа которых тесно связана с техническими аспектами защиты информации, и можно только пожалеть об их отсутствии в России.

    Сертификация CISSP (Certified Iinformation Systems Security Professional) проводится международным консорциумом ISC (International Information Systems Security Certification Consortium, Inc., www.isc2.org), который с самого начала создавался с целью обеспечения профессионалов и специалистов-практиков по информационной безопасности стандартами профессиональной сертификации. Ядро (ISC)2 составляют эксперты государственных структур, академических институтов, крупных корпораций. CISSP — главная и практически единственная сертификация консорциума. За 15 лет, которые прошли с момента создания консорциума и сертификации CISSP, было сертифицировано около 27 тыс. специалистов в более чем 106 странах, и сегодня CISSP является наиболее известной и всеми признанной сертификацией. CISSP является первой сертифицированной по ISO/ANSI сертификацией специалиста по информационной безопасности. Сертификат CISSP подтверждает высшую квалификацию специалиста по комплексной безопасности информационных систем и свидетельствует об информационной позиции безопасности самого высокого уровня — таких как CISO (Chief Information Security Officer).

    CISSP основана на «Общепринятом объеме знаний» (Common Body of Knowledge, CBK) специалиста по информационной безопасности. В CBK собраны лучшие принципы, методики и практики защиты, поддерживаемые и постоянно обновляемые экспертами отрасли. Сертифицированный специалист должен быть компетентен в 10 областях (доменах) CBK — это системы и методология управления доступом, безопасность разработки приложений и систем, планирование непрерывности бизнеса и планирование восстановления после чрезвычайных ситуаций, криптография, законодательство, расследования и этика, безопасность операций, физическая безопасность, архитектуры и модели безопасности, практика управления безопасностью, безопасность телекоммуникаций и сетей. Сертификация CISSP является международным стандартом, поскольку CBK не содержит специфики, характерной только для какой-либо страны или региона.

    Оплата труда специалистов по информационной безопасности, тыс. долл. в год

    Читайте также