1. Прийшов час сертифікації з безпеки Інформаційна безпека - одна з найбільш «гарячих» напрямків, ця...
2. Сертифікації, які не залежать від виробників
3. Дві сертифікації краще, ніж одна

Прийшов час сертифікації з безпеки

Інформаційна безпека - одна з найбільш «гарячих» напрямків, ця проблема хвилює практично всіх. Розширюється ринок відповідного обладнання і програмного забезпечення, з'являються складні комплексні рішення, потрібні грамотні фахівці. І сьогодні потреба в них невблаганно зростає: про це говорять і результати статистичних опитувань, і зростання рівня заробітної плати фахівців в даній області.

Замовники приділяють підвищену увагу таким описаним в ITIL процесів, як інформаційна безпека, забезпечення безперервності бізнесу і планування ресурсів. Все частіше заходить мова про сертифікацію в області безпеки, вводяться і постійно удосконалюються як світові, так і вітчизняні стандарти.

Комплексний підхід до проблем сертифікації в області інформаційної безпеки передбачає не тільки сертифікацію власне систем інформаційної безпеки, але і наявність сертифікованих фахівців, здатних підтримувати ці системи і керувати ними на відповідному рівні. Тому Міжнародний консорціум з сертифікаціям в області безпеки інформаційних систем (International Information Systems Security Certification Consortium, ISC) оголосив 2005 рік роком професіонала в області інформаційної безпеки.

Існує кілька міжнародних видів сертифікації фахівців з інформаційної безпеки, умовно їх можна розділити на сертифікації, незалежні від виробників програмного і апаратного забезпечення, серед яких безумовним світовим стандартом став CISSP (Certified Information Systems Security Professional) консорціуму (ISC) 2, і сертифікації, підтримувані певними виробниками.

Сертифікація виробників програмного і апаратного забезпечення визначає ступінь володіння кандидата цими засобами, хоча іноді такі програми підготовки охоплюють дуже широке коло питань і дають повне уявлення про більшу частину аспектів, пов'язаних з безпекою. Програми сертифікації, незалежні від виробника, спочатку претендують на глобальний погляд і широке охоплення тем - від пожежної та дій в умовах надзвичайної ситуації до протоколів бездротових мереж і криптографії. При цьому професіонал інформаційної безпеки високого рівня повинен володіти «незалежними» знаннями, т. Е. Вивчити весь спектр відомих продуктів і технологій від різних виробників, методів і принципів, щоб використовувати в роботі оптимальний варіант.

Питання «чи потрібна сертифікація?» Сьогодні вже не варто, більш актуальним є питання «яка сертифікація потрібна?». Вибір в основному залежить від спеціалізації і від рейтингу сертифікації. Фахівці зацікавлені в отриманні сертифікату з різних причин, але головна мета для більшості кандидатів - підтвердження майстерності і професійний ріст. Для багатьох це логічний крок, який підтверджує отримання знань в процесі навчання.

сертифікація виробників

Сьогодні майже кожен виробник обладнання або програмного забезпечення прагне створити свою програму сертифікації, і у багатьох існує спеціалізація з безпеки. Це програми Cisco Certified Security Professional (CCSP) компанії Cisco Systems, Check Point Certified Professional (CCP) компанії Check Point, Sun Certified Security Administrator for the Solaris Operating System від Sun Microsystems, 3Com Certified Security Specialist і ін. Навіть в рамках програми сертифікації одного виробника існує кілька рівнів (від початкового до вищого), природно з різними вимогами не тільки за кількістю тестів, але і за стажем роботи в даній області.

В одних програмах сертифікації (наприклад, в 3Сom Security Specialist) потрібне обов'язкове проходження курсів (в тому числі on-line), в інших ця умова не є обов'язковим, але повинен бути певний стаж роботи в даній області. Однак і тут існують відмінності, наприклад, для сертифікації Microsoft це вимога носить рекомендаційний характер.

Програма сертифікації фахівців з продуктів Microsoft існує досить давно, але постійно вдосконалюється, і одне з останніх змін - виділення спеціалізації з інформаційної безпеки як для сертифікованих адміністраторів, так і для інженерів. Програми сертифікації кілька різняться в залежності від серверної платформи - Microsoft Windows 2000 і Microsoft Windows Server 2003.

Спеціалізація MCSA: Security орієнтована на системних адміністраторів, що відповідають за забезпечення безпеки мережевих систем на основі Microsoft Windows 2000 або Windows Server 2003. Для її отримання необхідно здати п'ять іспитів: три основних (один з клієнтських операційних систем і два - по мережевих систем), а також два іспити з безпеки. Залежно від платформи розрізняються номера іспитів по мережевих систем і безпеки. В якості одного з обов'язкових іспитів з безпеки може зараховуватися сертифікація CompTIA Security + або іспит з Microsoft Internet Security and Acceleration (ISA) Server 2000.

Для інженерів, що спеціалізуються на проектуванні, плануванні та реалізації безпечної ІТ-інфраструктури на основі платформи Windows, введена сертифікація MCSE: Security, для отримання якої необхідно здати сім або вісім іспитів, що включають основні іспити (один - по клієнтських операційних систем і три або чотири - по мережевим), а також три іспити з безпеки. Загальна кількість іспитів визначається серверної платформою. В якості одного з обов'язкових іспитів з безпеки для сертифікації MCSE: Security може зараховуватися сертифікація CompTIA Security + або іспит з Microsoft ISA Server 2000.

Іспит з адміністрування системи безпеки для будь-якої платформи перевіряє знання шаблонів безпеки, безпеки IP (IPSec), безпеки RRAS, інфраструктури відкритих ключів (PKI), шифрованого файлової системи (EFS) і правильних дій у відповідь на погрози щодо системи безпеки. Іспит з проектування системи безпеки - як проектувати системи безпеки, як формувати стратегії аудиту, рішення PKI, як забезпечити безпеку мережевих служб, захищений бездротовий доступ і реалізувати рішення IPSec.

Число сертифікацій, пов'язаних з безпекою, неухильно зростає, а їх рейтинг залежить від багатьох факторів, в тому числі і від можливостей продукту або обладнання, обсягів його продажів і, відповідно, ринкової частки продукту. Тому перед фахівцем стоїть на перший погляд нелегке завдання вибору «правильної» сертифікації. Найчастіше це завдання вирішується дуже просто, якщо вибір фахівця залежить від обладнання і програмного забезпечення, встановленого в компанії, в якій працює потенційний власник сертифіката, або визначається партнерськими взаємовідносинами і, відповідно, вимог програми авторизації партнерів того чи іншого виробництва обладнання або постачальника програмного рішення .

Початківці фахівці, як правило, роблять вибір між сертифікаціями Cisco: (Cisco Certifed Network Associate, Security Professional, Internetwork Expert: Security) - ті, кого цікавить «залізо», і Microsoft (Microsoft Certified System Administrator або Microsoft Certified System Engineer - найбільш поширена сьогодні за рахунок широкого застосування продуктів і рішень Microsoft). Далі, як правило, доля фахівця зумовлена ​​і, зробивши перший крок, він робить другий. Це враховується і в багатьох багаторівневих програмах сертифікації, де кожна наступна сходинка вимагає виконання умов попередньої. Наприклад, в програмі CCP компанії Check Point тільки вступний рівень Check Point CCSPA - Check Point Certified Security Principles Associate, що дає деякі попередні знання і навички, не є сходинкою до наступного, а за кроком до CCSA (Check Point Certified Security Administrator) слідують кроки CCSE (Check Point Certified Security Expert) і CCSE Plus (Сheck Point Certified Security Expert Plus: Enterprise Integration and Troubleshooting).

Основний недолік сертифікацій від виробника - прив'язка до конкретних рішень на ринку, а значить, і деяка суб'єктивність. У багатьох випадках сертифікація виробника перевіряє повноту знань будь-якого продукту, а не знання кращих рішень від різних виробників. В цьому є свій сенс - користувачі повинні вивчати і добре знати конкретну продукцію. Сьогодні все більш очевидним стає шлях від сертифікації конкретного виробника до сертифікації загальної, незалежної, а значить, і більш об'єктивною.

Сертифікації, які не залежать від виробників

Таких «незалежних» сертифікацій сьогодні досить багато. Їх можна розділити за рівнем підготовки на початковий, середній і високий. Серед перших - сертифікація Brainbench, на другому ступені - CompTIA Security +, Ascendant SCP - Security Certified Network Professional (SCNP) / Security Certified Network Architect (SCNA), TrueSecure ICSA Certified Security Associate (TICSA), SANS GIAC Security Essentials, (ISC) 2 Systems Security Certified Practitioner (SSCP). До категорії високого рівня можна віднести три сертифікації: ISACA CISM, яка орієнтована на менеджерський склад, SANS GIAC Specialists - розрахована на технічних фахівців в області безпеки і CISSP (Certified Information Systems Security Professional) консорціуму (ISC) 2, яка вважається золотою серединою і визнана найвищим світовим стандартом.

Сертифікація Brainbench є найпростішою і доступною (вартість одного тесту складає близько 50 дол.). Найбільш відомою і поширеною можна вважати сертифікацію CompTIA Security +, оскільки вона визнана багатьма програмами сертифікації і виступає як попередню вимогу до багатьох інших, більш просунутим сертифікаціям, що дає підставу розглядати її як базову і фундаментальну сертифікацію. Для її отримання потрібно знання загальних понять безпеки, таких як моделі контролю доступу, методи аутентифікації і типи атак; захищені служби зв'язку, такі як Remote Authentication Dial-In User Service (RADIUS) і Secure Sockets Layer (SSL); безпеку на рівні інфраструктури, наприклад використання брандмауерів; основи криптографії; фізична безпека серверів. Рекомендується дворічний досвід роботи з мережевими технологіями та рішеннями в області ІБ. Тест здається в міжнародних центрах тестування Pearson VUE і Thomson Prometric. Вартість одного тесту приблизно 225 дол.

SANS Institute ( http://www.sans.org ) - один з найвідоміших в світі джерел інформації, навчання та сертифікації, його навчальні програми відрізняються суворо практичною спрямованістю і тісно пов'язані з програмами сертифікації. Сертифікації Global Information Assurance Certification (GIAC) підтримуються за різними спеціалізаціями, а їх унікальність полягає в тому, що в процесі сертифікації перевіряється не тільки знання кандидатом певної тематики, а й здатність застосовувати ці знання в реальних ситуаціях.

Базова сертифікація - GIAC Security Essentials Certification (GSEC) - призначена для мережевих адміністраторів, початківців адміністраторів безпеки, менеджерів, яким необхідні знання з інформаційної безпеки не тільки на рівні концепцій і принципів. Після реєстрації на іспит протягом п'яти місяців виконується практичне завдання, а потім здається два іспити. Вартість сертифікації приблизно 800 дол. Кожні два роки здається ресертіфікационний іспит.

Сертифікації SANS GIAC Specialist для професіоналів високого рівня діляться на спеціалізації. Серед них GIAC Certified Intrusion Analyst (GCIA), GIAC Certified Firewall Analyst (GCFW), GIAC Certified Incident Handler (GCIH), GIAC Certified Windows Security Administrator (GCWN), GIAC Certified UNIX Security Administrator (GCUX). Для сертифікації GIAC Security Expert (GSE) потрібна наявність всіх п'яти попередніх, а також пред'являються додаткові вимоги.

Сертифікація Systems Security Certified Practitioner SSCP консорціуму (ISC) 2 менш поширена (всього 500-1000 фахівців) на відміну від іншої сертифікації, CISSP, цієї ж компанії, але може розглядатися як попередня щабель до CISSP. Включає такі теми, як управління доступом, адміністрування, аудит і моніторинг, ризики, реагування і відновлення, криптографія, передача даних, шкідливий код і програмне забезпечення. Для цієї сертифікації потрібен досвід роботи в сфері інформаційної безпеки не менше року.

Information Systems Audit and Control Association (ISACA, www.isaca.org) - провідна професійна організація з управління інформаційними системами, контролю та аудиту, а також безпеки інформаційних систем - підтримує сертифікації Certified Information Systems Auditor, CISA (35 тис. Фахівців) і Certified Information Security Manager, CISM (з 2004 р, 5 тис. фахівців). CISM орієнтована на досвідчених адміністраторів систем / структур інформаційної безпеки, сфокусована на управлінні ризиками інформаційних систем і включає принципи і методи захисту на концептуальному рівні. Іспит проводиться один раз на рік в один день в 220 місцях по всьому світу і включає 200 питань, на які необхідно відповісти письмово. Тривалість іспиту чотири години, вартість - 500 дол. Для отримання сертифікату потрібно досвід роботи в галузі інформаційної безпеки не менше п'яти років (не менше трьох років у сфері управління інформаційною безпекою в областях, охоплених іспитом), а також необхідно підписати кодекс професійної етики і продовжувати професійне навчання.

Сертифікація Certified Information Systems Security Professional (CISSP) визнана золотим стандартом для фахівців з інформаційної безпеки і є вищою міжнародною оцінкою кваліфікації фахівця з інформаційної захисту. Вона існує більше 15 років і налічує близько 27 тис. Фахівців в 106 країнах, з них 27 (всього 27!) В Росії (станом на жовтень 2004 р.) У червні 2004 р міжнародна організація по стандартизації (ISO) офіційно схвалила програму сертифікації на отримання звання CISSP. CISSP - перша з сертифікацій в області IT, визнана ISO / ANSI відповідної міжнародної системою тестів для фахівців різних професій ISO / IEC / 17024. Сертифікація CISSP проводиться консорціумом International Information Systems Security Certifications Consortium, або (ISC) 2 ( http://www.isc2.org ), Безумовним світовим лідером в області сертифікації фахівців з інформаційної безпеки. У Росії, СНД і країнах Балтії представником (ISC) 2 є навчальний центр «Мікроінформ».

До претендентів висуваються досить високі вимоги. Необхідно мати досвід роботи не менше чотирьох років в якості спеціаліста з інформаційного захисту, скласти іспит, підписати Кодекс етики (ISC) 2 і постійно підтримувати свою кваліфікацію. Для підтвердження сертифікації CISSP повторної здачі іспиту не потрібно, достатньо кожні три роки проходити навчання на авторизованих курсах з інформаційної безпеки і брати участь в конференціях по цій темі. Навчання на курсах по сертифікаційним програмам MIS Training Institute ( http://www.misti.com ) ( «Управління інформаційною безпекою організації», «Захист периметра мережі», «Безпека в Internet, Web і електронну комерцію») і участь в «Школі аудиту інформаційних систем» зараховується для підтвердження сертифікації CISSP.

Здача офіційного іспиту вимагає від кандидатів детального і всебічного знання теорії і практики інформаційної безпеки. Питання іспиту охоплюють широкий діапазон проблем безпеки, заснованих на «загальноприйняті обсязі знань» (Common Body of Knowledge, CBK). СВК складається з десяти тем, або, як їх прийнято називати, доменів: методи управління інформаційною безпекою, архітектура і моделі безпеки, методологія і системи управління доступом, безпеку розробки додатків і систем, безпеку операцій, фізична безпека, криптографія, безпека телекомунікацій, мереж і Internet, планування безперервності бізнесу і планування відновлення після збоїв, законодавство, розслідування і етика.

В ході шестигодинного іспиту учасники повинні письмово відповісти на 250 питань. Починаючи з 2003 р цей іспит можна здавати не тільки за кордоном, але і в Росії, на базі навчального центру «Мікроінформ». «Прийнятий обсяг знань» (СВК), кількість питань і тимчасові рамки - нелегке випробування, з успіхом витримати яке може тільки професіонал, який має хорошу теоретичну базу і багатий практичний досвід.

«Незалежні» сертифікації в деякому сенсі більш цінні. У зв'язку з «незалежністю» від виробників і постачальників для отримання такої сертифікації потрібно практичний досвід роботи в сфері інформаційної безпеки як для освоєння предмета і придбання знань і навичок, так і для реального отримання такого сертифіката. Наприклад, для TICSA потрібно дворічний стаж роботи, для CISSP - документально підтверджений чотирирічний стаж роботи в галузі інформаційної безпеки.