Дмитро Крилов

Автор статті Дмитро Крилов очолює ...

Інформаційна безпека сьогодні є однією з найактуальніших проблем ІТ-індустрії, і більшість керівників компаній рано чи пізно усвідомлюють, що головним питанням тут є не наявність тих чи інших технологій, не кажучи вже про продукти, а високий професійний рівень відповідних фахівців. Щоб не помилитися у виборі майбутнього співробітника, слід перш за все звертати увагу на те, чи має він сертифікацію по інформаційної безпеки. Хоча суперечки про те, наскільки сертифікація відображає реальну здатність фахівця вирішувати поставлені завдання, тривають і досі, але поки що не існує кращого механізму для оцінки його можливостей. Тим більше що практичний досвід, іноді протиставляє формальної здачі сертифікаційних іспитів, вже давно є вимогою хорошою сертифікації.

значенні підвищення кваліфікації та сертифікації фахівців з інформаційної безпеки свідчать фінансові показники. За даними звіту IDC за минулий рік, 40% топ-менеджерів приблизно з тисячі провідних компаній зараховували інформаційну безпеку до головних пріоритетів своїх бюджетів, а оплата відповідних фахівців стабільно займає перші рядки в списках оплати кваліфікованих ІТ-фахівців. І, треба зазначити, ці вкладення окупаються. Так, відповідно до огляду CompTIA 2004, який охоплює 900 компаній, ті з них, які інвестують кошти в підготовку і сертифікацію свого персоналу з інформаційної безпеки, менш уразливі в частині захисту інформації: 80% компаній, які вклали гроші в навчання персоналу, і 70% компаній, витратилися на сертифікацію фахівців із захисту, відчули поліпшення корпоративного захисту інформації. Вимоги щодо підготовки в області інформаційної безпеки для новоприйнятих на роботу ІТ-фахівців в минулому році пред'являлися в 28% організацій проти 18% в 2003-му.

Сертифікації з інформаційної безпеки можна розділити на два типи - вендорськіх і вендоронезавісімие.

Вендорськіх сертифікації, спочатку з'явилися як складові маркетингових програм вендорів, до сих пір утримують досить сильні позиції. Такі визнані виробники систем і технологій захисту, як Cisco, ISS, Symantec, CheckPoint та ін., Мають власні лінійки сертифікацій (як правило, триступінчаті), які відповідають різним рівням застосування продукту / технології, експертного знання і побудови рішень на основі продуктів даної компанії . За престижністю (і величиною оплати сертифікованих фахівців) тут лідирують сертифікації Cisco, які характеризуються також значними вкладеннями в підготовку. Найбільші вендори ІТ-галузі, а саме Microsoft, Sun, Computer Associates, 3СОМ, Nortel Networks і т.д., теж пропонують спеціалізації щодо захисту в рамках своїх сертифікаційних програм, але розраховані вони скоріше не на власне фахівців із захисту, а на інженерів, адміністраторів і т.д. В цілому вендорськіх сертифікації адекватно відображають функції технічного персоналу з експлуатації або реалізації окремих підсистем захисту, хоча сьогодні подібна сертифікація вже не є достатньою для фахівця з інформаційної безпеки.

Вендоронезавісімая сертифікація має на увазі, що сертифікований фахівець здатний оптимально організувати комплексну інформаційну безпеку організації і забезпечити її підтримку шляхом поєднання різних методів і технологій. Даний рівень передбачає всебічний підхід до інформаційної безпеки: від фахівця потрібні знання технічних і управлінських аспектів захисту, а також володіння широким спектром найрізноманітніших питань - від криптографії до фізичного захисту. Вищі сертифікації даного типу володіють і рядом додаткових умов - це, зокрема, досвід роботи протягом декількох років безпосередньо в якості спеціаліста з інформаційної безпеки, регулярне навчання і ін.

Автор статті Дмитро Крилов очолює напрямок з навчання та сертифікації фахівців з інформаційної безпеки в навчальному центрі «Мікроінформ», найстарішому вітчизняному навчальному центрі для ІТ-фахівців. З 2001 року «Мікроінформ» є авторизованим навчальним центром MIS Training Institute - міжнародного лідера в підготовці фахівців з інформаційної безпеки та аудиту інформаційних систем. З 2003 року «Мікроінформ» представляє на території Росії, СНД і країн Балтії консорціум (ISC) 2, якому належить «золотий стандарт» кваліфікації фахівця з інформаційної безпеки - сертифікація CISSP. Детальніше про навчальні програми MIS Training Institute і сертифікації (ISC) 2 в «Мікроінформ» можна дізнатися на сайті центру www.microinform.ru .

Згідно із уже згадуваною огляду CompTIA, 68% респондентів вважають за краще вендоронезавісімий тип навчання і сертифікації фахівців з інформаційної безпеки, а більшість інших вважають, що вендоронезавісімие навчання і сертифікація повинні доповнювати вендорськіх.

У даній статті ми обмежимося розглядом вендоронезавісімих сертифікацій, які, в свою чергу, можна умовно розділити на сертифікації початкового, середнього та вищого рівнів.

Лідерство за кількістю сертифікованих фахівців серед сертифікацій початкового рівня (12 тис. Фахівців з більш ніж 115 країн) належить CompTIA Security + - відомої міжнародної асоціації Computing Technology Industry Association (CompTIA, www.comptia.org ). Ця сертифікація гарантує знання фахівцем захисту інформації на фундаментальному рівні. Для сертифікації необхідно скласти іспит і мати не менше 2 років досвіду роботи в галузі мережевих технологій.

Як приклад і один з кращих варіантів сертифікації середнього рівня можна привести сертифікацію SANS GSEC (SANS - SysAdmin, Audit, Network, Security; GSEC - Security Essentials Certification). SANS Institute ( www.sans.org ) Входить до числа найвідоміших у світі і солідних джерел інформації, навчання та сертифікації з інформаційної безпеки. З 1999 року SANS Institute веде програму Global Information Assurance Certification (GIAC), а GSEC є однією з сертифікацій GIAC (більше 3 тис. Фахівців) і орієнтована на початківців фахівців з інформаційної безпеки, що мають досвід роботи з системами і мережами. GSEC гарантує підготовку фахівця по позиціях, пов'язаних з технічними аспектами захисту.

А тепер перейдемо до вищих сертифікаціям - ISACA CISM, SANS GIAC Specialist / Expert і CISSP.

Сертифікат CISM (Certified Information Security Manager) присвоюється асоціацією Information Systems Audit and Control Association (ISACA, www. isaca.org ), Відомої як провідна професійна організація фахівців з управління інформаційними системами по їх контролю, аудиту та безпеки. Ця асоціація, заснована в 1967 році, має в своєму складі десятки національних відділень (в тому числі в Росії) і займається дослідженнями, стандартами в предметної області (зокрема, їй належить відомий стандарт CObIT), професійної сертифікацією фахівців. Основний сертифікацією для членів ISACA є сертифікація CISA (Certified Information Systems Auditor), яка налічує понад 35 тис. Фахівців, а сертифікація CISM вперше проводилася в минулому році, але на даний момент по CISM сертифіковане вже близько 5 тис. Фахівців (правда, близько половини з них отримали її у спадок від CISA).

Сертифікація CISM орієнтована на досвідчених управлінців системами / структурами інформаційної безпеки. Сертифікат CISM підтверджує, що фахівець має належні знання, досвід і здатний ефективно управляти захистом інформації в організації або консультувати з питань управління в зазначеній галузі. Можна сказати, що CISM швидше є менеджмент-сертифікацією в певній предметній області і сфокусована на управлінні ризиками інформаційних систем, хоча сертифікований фахівець володіє принципами і методами захисту інформаційної системи на концептуальному рівні.

Для сертифікації CISM необхідно скласти іспит, підписати кодекс професійної етики ISACA і підтвердити наявність досвіду роботи в предметній області. Іспит проводиться раз на рік (зазвичай в червні) в один і той же день по всьому світу і складається з 200 питань в письмовому вигляді. До речі, подібна паперова технологія є характерною рисою вищих сертифікацій, оскільки дозволяє максимально убезпечити від компрометації матеріал іспиту. Іспит триває 4 години, плата за нього становить 450-500 дол. Тематика іспиту: регулювання в інформаційній безпеці (21%), управління ризиками (21%), управління програмою інформаційної безпеки (21%), управління захистом інформації (24%), управління реагуванням (13%). Для сертифікації повинен бути досвід роботи в галузі інформаційної безпеки не менше 5 років, причому не менше 3 років з управління захистом в тих областях, які перераховані як теми іспиту. У залік 1-2 років загального досвіду в інформаційній безпеці можуть йти різні сертифікати (Security +, SANS GIAC, CISA і ін.), Але це не скасовує 3-річного терміну роботи з управління захистом. Сертифікацію необхідно підтверджувати за допомогою постійного професійного навчання (не менше 120 годин навчання кожні 3 роки і не менше 20 годин на рік) за схваленим ISACA програмами. Для підготовки до іспиту працюють курси, що проводяться ISACA під час конференцій та у відділеннях асоціації.

В цілому сертифікація CISM оцінюється як одна з кращих для управлінців, які працюють в галузі забезпечення інформаційної безпеки.

Сертифікація SANS GIAC Specialist входить до складу програми GIAC SANS Institute, і на даний момент сертифіковано близько 7 тис. Фахівців. У процесі сертифікації перевіряється не тільки знання кандидатом певній галузі, а й його здатність застосувати це знання на практиці, внаслідок чого в дослідженні Gartner Group відзначена перевагу GIAC для тих, хто пов'язаний з технічними питаннями захисту.

Сертифікації GIAC Specialist проводяться за різними напрямками: виявлення вторгнення, міжмережеві екрани і захист периметра, обробка інцидентів, безпеку операційних систем; відповідно присвоюється кваліфікація GIAC Certified Intrusion Analyst (GCIA), GIAC Certified Firewall Analyst, GIAC Certified Incident Handler, GIAC Certified Windows Security Administrator, GIAC Certified UNIX Security Administrator. Вартість проходження сертифікації - 800 дол. Для сертифікації необхідно протягом 5 місяців виконати практичне завдання (проект), потім протягом місяця здати два онлайн-іспиту, кожен з яких складається з 75 питань, а на відповіді відводиться по 2 години. Наприклад, програми іспитів GIAC Certified Firewall Analyst включають такі питання, як бізнес-потреби і захист, фрагментація в IP, транспорти і служби IP, TCPdump, WINdump, аналізатори, статична фільтрація пакетів, фільтрація і інспекція пакетів з контролем стану, проксі-сервери, поглиблені знання поширених міжмережевих екранів, реалізація захисту за допомогою маршрутизаторів Cisco, виявлення вторгнення, централізоване протоколювання, аналіз журналів міжмережевих екранів, повідомлення при протоколюванні, IPSec, SSL, SSH, побудова захищеного пери метра, актуальний інструментарій, вузловий і мережевий аудит і ін. Кожні 2 або 4 роки (в залежності від напрямку) володар сертифіката повинен здавати підтверджує онлайн-іспит, вартість якого становить 120 дол.

Сертифікація GIAC Security Expert є вищим ступенем програми GIAC. Після сертифікації по п'яти позиціях (причому не менше ніж по одній з балом більше 90%) GIAC Specialist повинен скласти усний іспит, виконати ряд практичних завдань, здати письмовий іспит, побудований за принципом сценарію, і виконати усну презентацію на тему за власним вибором.

SANS GIAC Specialist / Expert є вищими сертифікаціями для фахівців з безпеки, робота яких тісно пов'язана з технічними аспектами захисту інформації, і можна тільки пошкодувати про їх відсутність в Росії.

Сертифікація CISSP (Certified Iinformation Systems Security Professional) проводиться міжнародним консорціумом ISC (International Information Systems Security Certification Consortium, Inc., www.isc2.org ), Який з самого початку створювався з метою забезпечення професіоналів і фахівців-практиків з інформаційної безпеки стандартами професійної сертифікації. Ядро (ISC) 2 складають експерти державних структур, академічних інститутів, великих корпорацій. CISSP - головна і фактично єдина сертифікація консорціуму. За 15 років, які пройшли з моменту створення консорціуму і сертифікації CISSP, було сертифіковано близько 27 тис. Фахівців в більш ніж 106 країнах, і сьогодні CISSP є найбільш відомою і всіма визнаної сертифікацією. CISSP є першою сертифікованою по ISO / ANSI сертифікацією фахівця з інформаційної безпеки. Сертифікат CISSP підтверджує кваліфікацію фахівця з комплексної безпеки інформаційних систем і свідчить про інформаційну позиції безпеки найвищого рівня - таких як CISO (Chief Information Security Officer).

CISSP заснована на «загальноприйняті обсязі знань» (Common Body of Knowledge, CBK) фахівця з інформаційної безпеки. У CBK зібрані кращі принципи, методики та практики захисту, підтримувані і постійно оновлювані експертами галузі. Сертифікований фахівець повинен бути компетентний в 10 областях (доменах) CBK - це системи та методологія управління доступом, безпеку розробки додатків і систем, планування безперервності бізнесу і планування відновлення після надзвичайних ситуацій, криптографія, законодавство, розслідування та етика, безпеку операцій, фізична безпека, архітектури та моделі безпеки, практика управління безпекою, безпеку телекомунікацій і мереж. Сертифікація CISSP є міжнародним стандартом, оскільки CBK не містить специфіки, характерної тільки для будь-якої країни або регіону.

Оплата праці фахівців з інформаційної безпеки, тис. Дол. На рік
(Джерело: Certification Magazine Salary Survey, 2004)

Сертифікація вимагає досвіду роботи в доменах CBK не менше 3-4 років, причому фахівець повинен не просто вирішувати проблеми захисту, а згідно зі своїми посадовими обов'язками відповідати за ті чи інші аспекти забезпечення безпеки. Для сертифікації необхідно здати складний сертифікаційний іспит, відповідати етичним нормам (ISC) 2 і постійно проходити професійне навчання (не менше 120 годин кожні 3 роки). Іспит триває 6 годин, складається з 250 питань в письмовому вигляді і приймається комісією (ISC) 2. Вартість іспиту становить 700 дол. Після здачі іспиту потрібно рекомендація одного з власників сертифіката CISSP (в деяких випадках вона може бути замінена рекомендацією роботодавця). Передбаченапопередня сертифікація CISSP Associate (здача іспиту з подальшим набором досвіду роботи). Можливо подальший розвиток CISSP за спеціалізаціями (концентрацій): ISSAP (Concentration in Architecture), ISSEP (Concentration in Engineering), ISSMP (Concentration in Management). Іспити CISSP з 2003 року проводяться в Росії, і сьогодні налічується близько 100 сертифікованих фахівців. Іспити проходять в навчальному центрі «Мікроінформ» ( www.microinform.ru ), Відсоток успішного складання становить 60-70%.

Найбільш популярні сертифікації фахівців з інформаційної безпеки

Для підготовки до сертифікації CISSP надаються передекзаменаційні консультації консорціуму, а також працюють авторизовані консорціумом навчальні програми. Одним з основних партнерів (ISC) 2 з навчання є MIS Training Institute ( www.misti.com ), Причому ці програми є одним з найпоширеніших способів підготовки до сертифікації та підтримки статусу CISSP, доступним і в Росії.

Підсумовуючи все вищесказане, зазначимо, що можливостей отримати сертифікацію у фахівців з інформаційної безпеки, незважаючи на їх крайню затребуваність, не так вже й багато. Якщо який-небудь компанії потрібен фахівець з базовою знанням проблематики (або якщо сам фахівець знаходиться на початку своєї кар'єри), варто розглянути сертифікації CompTIA Security + або SANS GSEC відповідно для управлінської та технічної специфіки. Залучаючи найбільш кваліфікованих фахівців (або вибираючи собі довгострокову вищу мету кар'єри), орієнтуйтеся на сертифікати CISM для направлення менеджера в управлінні інформаційною безпекою, SANS GIAC Specialists / Expert для технічного фахівця, CISSP для професіонала в області комплексного забезпечення безпеки.

КомпьютерПресс 4'2005