Российские специалисты по информационной безопасности о пользе и значении сертификата CISSP

O сертификате Certified Information Systems Security Professional (CISSP) в нашей стране пока известно мало. Между тем он пользуется высоким авторитетом среди специалистов по информационной безопасности ведущих стран мира. Сертификация CISSP — своего рода гарантия, что обладающий ею специалист сумеет выстроить и будет правильно управлять корпоративной политикой информационной безопасности. Для получения этой сертификации претендент должен продемонстрировать знания по широкому спектру общих проблем информационной безопасности.

Проведение сертификации CISSP в России началось недавно, летом этого года. Первый экзамен был организован в рамках сотрудничества компаний «Микроинформ» и International Information Systems Security Certification Consortium — (ISC)2, которая занимается разработкой содержания экзамена и проведением сертификации CISSP по всему миру.

До этого в нашей стране было всего пять сертифицированных специалистов CISSP. Двое из них согласились ответить на наши вопросы. Менеджер по услугам в области информационных технологий и компьютерной безопасности компании Ernst & Young Николай Петров был первым россиянином, прошедшим сертификацию CISSP в январе 2000 года в Швейцарии. Эксперт по информационной безопасности компании IBS Иван Личманов сдал сертификационный экзамен в январе 2003 года в Лондоне. С ними беседует Наталья Дубова, научный редактор журнала «Открытые системы».

Что послужило для вас стимулом получить сертификацию CISSP?

Николай Петров, менеджер по услугам в области информационных технологий и компьютерной безопасности компании Ernst & Young
Николай Петров (НП): В то время я работал в одной из крупнейших международных компаний; для таких организаций наличие сертификата CISSP y людей, занимающихся информационной безопасностью, обязательно. В течение полутора лет я оставался единственным обладателем этого сертификата в России. Когда в середине 2001 года, просматривая сайт консорциума www.isc2.org, я обнаружил, что в России появился еще один сертифицированный специалист, то очень обрадовался. Для меня это означало, что в нашей стране компании стали проявлять интерес к информационной безопасности, который подкрепляется общепризнанными в мире стандартами.

Иван Личманов, эксперт по информационной безопасности компании IBS
Иван Личманов (ИЛ): Идея подтвердить свою профессиональную квалификацию появилась давно. Существует немало различных сертификаций по продуктам тех или иных производителей, но по информационной безопасности в широком смысле, насколько мне известно, лишь несколько. Наиболее престижна, вероятно, CISSP. Этот факт, а также удачный опыт коллеги, сдавшего сертификационный экзамен на звание CISSP, послужили основным стимулом.

Что изменилось в вашей профессиональной деятельности? Как повлияло получение сертификации на развитие вашей карьеры?

НП: Так получилось, что я сменил работу — пришел в международную консультационную компанию «большой четверки», заинтересованную в развитии услуг по информационной безопасности. Мы начинали практически с нуля, предлагая независимую сертификацию в области информационной безопасности и диагностику защиты. Но сейчас могу с уверенностью сказать, что среди иностранных компаний мы находимся на ведущих позициях в таких областях, как диагностика защиты, расследование компьютерных преступлений, сертификация, внедрение нормативных документов, построение архитектуры безопасности, разработка плана ведения непрерывной деятельности и т. д.

ИЛ: CISSP — основательная проверка теоретических знаний по информационной безопасности вообще, а также хорошая база для развития профессиональных навыков в будущем. Для получения сертификата претендент должен иметь не менее четырех лет опыта работы в области информационной безопасности, что является достаточно объективным подтверждением практических навыков. На мой взгляд, CISSP имеет ряд особенностей, непосредственно влияющих на развитие профессиональной карьеры: во-первых, это действительно престижная сертификация, во-вторых, в России число специалистов CISSP пока невелико и, в-третьих, в отличие от сертификаций по программным продуктам экзамен на звание CISSP не зависит от какого-либо конкретного решения или производителя.

Ваши впечатления от сертификационного экзамена?

НП: Довольно сложный экзамен, очень много специфичных английских терминов из области информационной безопасности. Вопросы экзамена затрагивают темы из 10 областей компетенции. Хорошо, что, получая высшее образование, я специализировался в изучении криптографии — вопросы из данной области выглядели для меня очень простыми. Однако из 24 человек экзамен сдали лишь 12.

ИЛ: Впечатлений очень много. Экзамен проходит в письменной форме, длится шесть часов и очень строго контролируется. Темп сдачи напряженный. Экзамен можно охарактеризовать так: сложный, но при достаточной подготовке и решимости «штурмовать» каждый из 250 вопросов — вполне реальный для того, чтобы набрать проходной бал. Много внимания нужно уделять правильной интерпретации вопроса, пониманию того, к какой из десяти проверяемых областей теста он относится.

Что вы делаете для того, чтобы подтверждать сертификацию?

НП: Я посещаю специализированные курсы обучения, так как они необходимы мне для работы, например курсы Extreme Hacking компании Ernst & Young, выступаю на конференциях, посвященных проблемам безопасности. Это не так сложно, если работаешь в данной области.

ИЛ: Для того чтобы подтверждать звание CISSP, можно либо пересдать экзамен через три года, либо за эти три года набрать не менее 120 так называемых СРЕ (Continuing Professional Education). Наличие некоторого количества СРЕ подтверждает, что в течение этих трех лет ваша профессиональная деятельность была связана с информационной безопасностью, а должное их количество — что вы занимались этим направлением достаточно глубоко. СРЕ присваиваются за обучение, чтение лекций, проведение семинаров, написание статей и пр. В течение полугода с момента сдачи экзамена я прошел курс по анализу рисков, который проводится специалистами MIS Training Institute в «Микроинформе» (этот курс соответствует 22 СРЕ), а также читал в МГТУ лекции, посвященные безопасности операционных систем.

Насколько актуальна подобная сертификация для российских специалистов в области информационной безопасности?

НП: Сейчас половина сертифицированных специалистов в России работает в иностранных компаниях, а другая — в отечественных. Надеюсь, что с каждым годом число сертифицированных специалистов из российских компаний будет расти, ведь CISSP — общепризнанный международный стандарт, и, чтобы компания могла заявить о качестве своих услуг, наличие таких специалистов необходимо.

ИЛ: Сертификация CISSP обязывает поддерживать свою квалификацию и следовать кодексу этики организации (ISC)2. Далее, поскольку существует тенденция к более широкому распространению в России западного опыта и международных стандартов по информационной безопасности, данная сертификация позволяет адекватно воспринимать этот опыт и стандарты, что, на мой взгляд, очень важно в условиях существования обширной терминологической базы, специфичной для России, и не всегда корректных переводов зарубежных источников. Наконец, сертификация позволяет получить знания по очень широкому спектру вопросов, начиная с физической безопасности и законодательства и заканчивая архитектурными аспектами, криптографией, разработкой программного обеспечения и пр. Я не знаю других сертификационных программ по информационной безопасности с подобной сферой охвата.


Сертификация CISSP

Автором системы сертификации CISSP является американская компания International Information Systems Security Certifications Consortium — (ISC)2.

B (ISC)2 разработан свод знаний Common Body of Knowledge (CBoK), который является основой для проведения сертификационного экзамена CISSP. Претендент на звание CISSP должен продемонстрировать свою компетентность в десяти областях информационной безопасности, описанных в СВоК:

  • методология и системы управления доступом - механизмы, обеспечивающие защиту активов информационной системы;
  • безопасность разработки приложений - основные концепции безопасности, которые применяются при создании прикладных программ;
  • планирование непрерывности бизнеса - средства сохранения и восстановления функционирования бизнеса в случае сбоев и катастроф;
  • криптография - принципы, средства и методы скрытия информации, гарантирующие ее целостность, конфиденциальность и подлинность;
  • правовые и этические вопросы информационной безопасности - законы и положения о компьютерных преступлениях, средства и технологии, которые применяются для их расследования;
  • безопасность операций - аудит и мониторинг информационной инфраструктуры с целью идентификации средств управления аппаратными ресурсами и персоналом, имеющим привилегированный доступ к таким ресурсам;
  • физическая безопасность - методы физической защиты оборудования, от внешнего периметра до внутреннего офисного пространства;
  • архитектура и модели безопасности - концепции, принципы, структуры и стандарты для построения, мониторинга и поддержки системы безопасности операционных систем, оборудования, сетевой инфраструктуры, приложений;
  • методы управления информационной безопасностью - идентификация информационных активов организации, разработка и применение политик, стандартов, процедур и руководящих документов;
  • сетевая защита и безопасность телекоммуникационных структур.

Экзамен CISSP сложен. В течение шести часов необходимо ответить в письменной форме на 250 вопросов, каждый предполагает четыре варианта ответа. За проведением экзамена наблюдает представитель (ISC)2, который по окончании испытания отправляет ответы в штаб-квартиру компании. Содержание СВоК и экзаменационные вопросы постоянно обновляются, чтобы соответствовать уровню развития технологий в области безопасности. (ISC)2 не переводит вопросы на языки тех стран, где проводится экзамен, сертификация проходит только на английском языке: локализация может создать серьезные препятствия для оперативного обновления содержания экзамена во всех регионах, где работает (ISC)2.

Претендент на звание CISSP должен не только обладать знаниями по каждой из десяти областей компетенции, определенных в СВоК, но также иметь не менее чем четырехлетний опыт профессиональной практики в нескольких из областей компетенции. Кроме того, перед сертификацией кандидат должен подписать Кодекс этики, определяющий правила поведения специалиста CISSP.

(ISC)2 предлагает еще одну сертификационную программу, рассчитанную на специалистов-практиков в области безопасности. Сертификация Systems Security Certified Professional (SSCP) предъявляет менее строгие требования к претендентам. Наличие одного года практической работы — достаточное условие для того, чтобы быть допущенным к сдаче экзамена SSCP, который включает 125 вопросов, охватывающих семь областей СВоК:

  • управление доступом;
  • администрирование;
  • аудит и мониторинг;
  • криптография;
  • передача данных;
  • злонамеренные программы;
  • риски, реагирование и восстановление.

Помимо создания и поддержки СвоК, проведения сертификации, (ISC)2 организует специальные семинары по подготовке к сертификационным экзаменам; однако эти семинары не ставят цель научить тому, что нужно знать на экзамене. На сертификацию CISSP, как правило, решаются зрелые специалисты с обширной эрудицией в области информационной безопасности, подкрепленной серьезной практикой. По существу, они уже должны все знать. Поэтому цель подготовительного семинара — помочь претенденту найти пробелы в своих познаниях и постараться ликвидировать их до начала сертификационного экзамена. По статистике (ISC)2, из кандидатов, прошедших подготовку на семинаре компании, 60-70% успешно сдают экзамены. Также в (ISC)2 отмечают высокий процент сдачи среди тех, кто в то или иное время обучался на курсах компании MIS Training Institute, которая специализируется на учебных программах по информационной безопасности. Учебные программы MIS не привязаны к конкретным аппаратным и программным решениям, их цель — выработка у слушателей комплексного представления о политике информационной безопасности в компании. Авторы программ MIS, как правило, сертифицированные специалисты CISSP.

B настоящее время деятельность (ISC)2 по независимой сертификации в области информационной безопасности охватывает более 85 стран. В Восточной Европе эта деятельность только начинается, и Россия — одна из первых стран региона, в которой у (ISC)2 уже заключено соглашение о сотрудничестве.

Наибольшее число сертифицированных специалистов CISSP — свыше 10 тыс. — в США, очень динамично растет интерес к сертификации в Азии, особенно в Китае, в странах Западной Европы. Это свидетельствует о том, что в мире происходит осознание необходимости высокой квалификации руководителя службы информационной безопасности и формируется международное профессиональное сообщество таких менеджеров.

В России учебные программы MIS Training Institute, a теперь сертификационные экзамены и подготовительные семинары (ISC)2 проводятся в учебном центре «Микроинформ».

По данным опроса, проведенного журналом Certification Magazine в конце 2002 года, специалисты, сертифицированные (ISC)2, имеют самый высокий годовой доход по сравнению с обладателями других сертификаций в области ИТ. Кроме того, получение сертификата CISSP обеспечивает один из самых высоких уровней роста годового дохода.