Пришло время сертификации по безопасности
Информационная безопасность — одно из самых «горячих» направлений, эта проблема волнует практически всех. Расширяется рынок соответствующего оборудования и программного обеспечения, появляются сложные комплексные решения, требуются грамотные специалисты. И сегодня потребность в них неумолимо растет: об этом говорят и результаты статистических опросов, и рост уровня заработной платы специалистов в данной области.
Заказчики уделяют повышенное внимание таким описанным в ITIL процессам, как информационная безопасность, обеспечение непрерывности бизнеса и планирование ресурсов. Все чаще заходит речь о сертификации в области безопасности, вводятся и постоянно совершенствуются как мировые, так и отечественные стандарты.
Комплексный подход к проблемам сертификации в области информационной безопасности предполагает не только сертификацию собственно систем информационной безопасности, но и наличие сертифицированных специалистов, способных поддерживать эти системы и управлять ими на соответствующем уровне. Поэтому Международный консорциум по сертификациям в области безопасности информационных систем (International Information Systems Security Certification Consortium, ISC) объявил 2005 год годом профессионала в области информационной безопасности.
Существует несколько международных видов сертификации специалистов по информационной безопасности, условно их можно разделить на сертификации, независимые от производителей программного и аппаратного обеспечения, среди которых безусловным мировым стандартом стал CISSP (Certified Information Systems Security Professional) консорциума (ISC)2, и сертификации, поддерживаемые определенными производителями.
Сертификация производителей программного и аппаратного обеспечения определяет степень владения кандидата этими средствами, хотя иногда такие программы подготовки охватывают весьма широкий круг вопросов и дают полное представление о большей части аспектов, связанных с безопасностью. Программы сертификации, независимые от производителя, изначально претендуют на глобальный взгляд и широкий охват тем — от пожаробезопасности и действий в условиях чрезвычайной ситуации до протоколов беспроводных сетей и криптографии. При этом профессионал информационной безопасности высокого уровня должен обладать «независимыми» знаниями, т. е. изучить весь спектр известных продуктов и технологий от разных производителей, методов и принципов, чтобы использовать в работе оптимальный вариант.
Вопрос «нужна ли сертификация?» сегодня уже не стоит, более актуальным является вопрос «какая сертификация нужна?». Выбор в основном зависит от специализации и от рейтинга сертификации. Специалисты заинтересованы в получении сертификата по разным причинам, но главная цель для большинства кандидатов — подтверждение мастерства и профессиональный рост. Для многих это логичный шаг, подтверждающий получение знаний в процессе обучения.
Сертификация производителей
Сегодня почти каждый производитель оборудования или программного обеспечения стремится создать свою программу сертификации, и у многих существует специализация по безопасности. Это программы Cisco Certified Security Professional (CCSP) компании Cisco Systems, Check Point Certified Professional (CCP) компании Check Point, Sun Certified Security Administrator for the Solaris Operating System от Sun Microsystems, 3Com Certified Security Specialist и др. Даже в рамках программы сертификации одного производителя существует несколько уровней (от начального до высшего), естественно с разными требованиями не только по количеству тестов, но и по стажу работы в данной области.
В одних программах сертификации (например, в 3Сom Security Specialist) требуется обязательное прохождение курсов (в том числе on-line), в других это условие не является обязательным, но должен быть определенный стаж работы в данной области. Однако и здесь существуют различия, например, для сертификации Microsoft это требование носит рекомендательный характер.
Программа сертификации специалистов по продуктам Microsoft существует достаточно давно, но постоянно совершенствуется, и одно из последних изменений — выделение специализации по информационной безопасности как для сертифицированных администраторов, так и для инженеров. Программы сертификации несколько различаются в зависимости от серверной платформы — Microsoft Windows 2000 и Microsoft Windows Server 2003.
Специализация MCSA: Security ориентирована на системных администраторов, отвечающих за обеспечение безопасности сетевых систем на основе Microsoft Windows 2000 или Windows Server 2003. Для ее получения необходимо сдать пять экзаменов: три основных (один по клиентским операционным системам и два — по сетевым системам), а также два экзамена по безопасности. В зависимости от платформы различаются номера экзаменов по сетевым системам и безопасности. В качестве одного из обязательных экзаменов по безопасности может засчитываться сертификация CompTIA Security+ или экзамен по Microsoft Internet Security and Acceleration (ISA) Server 2000.
Для инженеров, специализирующихся на проектировании, планировании и реализации безопасной ИT-инфраструктуры на основе платформы Windows, введена сертификация MCSE: Security, для получения которой необходимо сдать семь или восемь экзаменов, включающих основные экзамены (один — по клиентским операционным системам и три или четыре — по сетевым), а также три экзамена по безопасности. Общее количество экзаменов определяется серверной платформой. В качестве одного из обязательных экзаменов по безопасности для сертификации MCSE:Security может засчитываться сертификация CompTIA Security+ или экзамен по Microsoft ISA Server 2000.
Экзамен по администрированию системы безопасности для любой платформы проверяет знание шаблонов безопасности, безопасности IP (IPSec), безопасности RRAS, инфраструктуры открытых ключей (PKI), шифрованной файловой системы (EFS) и правильных ответных действий на угрозы в отношении системы безопасности. Экзамен по проектированию системы безопасности — как проектировать системы безопасности, как формировать стратегии аудита, решения PKI, как обеспечить безопасность сетевых служб, защищенный беспроводной доступ и реализовать решения IPSec.
Число сертификаций, связанных с безопасностью, неуклонно растет, а их рейтинг зависит от многих факторов, в том числе и от возможностей продукта или оборудования, объемов его продаж и, соответственно, рыночной доли продукта. Поэтому перед специалистом стоит на первый взгляд нелегкая задача выбора «правильной» сертификации. Чаще всего эта задача решается очень просто, если выбор специалиста зависит от оборудования и программного обеспечения, установленного в компании, в которой работает потенциальный обладатель сертификата, или определяется партнерскими взаимоотношениями и, соответственно, требованиями программы авторизации партнеров того или иного производителя оборудования или поставщика программного решения.
Начинающие специалисты, как правило, делают выбор между сертификациями Cisco: (Cisco Certifed Network Associate, Security Professional, Internetwork Expert: Security) — те, кого интересует «железо», и Microsoft (Microsoft Certified System Administrator или Microsoft Certified System Engineer — наиболее распространенная сегодня за счет широкого применения продуктов и решений Microsoft). Далее, как правило, судьба специалиста предопределена и, сделав первый шаг, он делает второй. Это учитывается и во многих многоуровневых программах сертификации, где каждая следующая ступень требует выполнения условий предыдущей. Например, в программе CCP компании Check Point только вводный уровень Check Point CCSPA — Check Point Certified Security Principles Associate, дающий некоторые предварительные знания и навыки, не является ступенью к следующему, а за шагом к CCSA (Check Point Certified Security Administrator) следуют шаги CCSE (Check Point Certified Security Expert) и CCSE Plus (Сheck Point Certified Security Expert Plus: Enterprise Integration and Troubleshooting).
Основной недостаток сертификаций от производителя — привязка к конкретным решениям на рынке, а значит, и некоторая субъективность. Во многих случаях сертификация производителя проверяет полноту знаний какого-либо продукта, а не знание лучших решений от разных производителей. В этом есть свой смысл — пользователи должны изучать и хорошо знать конкретную продукцию. Сегодня все более очевидным становится путь от сертификации конкретного производителя к сертификации общей, независимой, а значит, и более объективной.
Сертификации, не зависящие от производителей
Таких «независимых» сертификаций сегодня довольно много. Их можно разделить по уровню подготовки на начальный, средний и высокий. Среди первых — сертификация Brainbench, на второй ступени — CompTIA Security+, Ascendant SCP — Security Certified Network Professional (SCNP)/ Security Certified Network Architect (SCNA), TrueSecure ICSA Certified Security Associate (TICSA), SANS GIAC Security Essentials, (ISC)2 Systems Security Certified Practitioner (SSCP). К категории высокого уровня можно отнести три сертификации: ISACA CISM, которая ориентирована на менеджерский состав, SANS GIAC Specialists — рассчитана на технических специалистов в области безопасности и CISSP (Certified Information Systems Security Professional) консорциума (ISC)2, которая считается золотой серединой и признана высшим мировым стандартом.
Сертификация Brainbench является самой простой и доступной (стоимость одного теста составляет около 50 долл.). Наиболее известной и распространенной можно считать сертификацию CompTIA Security+, поскольку она признана многими программами сертификации и выступает в качестве предварительного требования ко многим другим, более продвинутым сертификациям, что дает основание рассматривать ее как базовую и фундаментальную сертификацию. Для ее получения требуется знание общих понятий безопасности, таких как модели контроля доступа, методы аутентификации и типы атак; защищенные службы связи, такие как Remote Authentication Dial-In User Service (RADIUS) и Secure Sockets Layer (SSL); безопасность на уровне инфраструктуры, например использование брандмауэров; основы криптографии; физическая безопасность серверов. Рекомендуется двухлетний опыт работы с сетевыми технологиями и решениями в области ИБ. Тест сдается в международных центрах тестирования Pearson VUE и Thomson Prometric. Стоимость одного теста примерно 225 долл.
SANS Institute (http://www.sans.org) — один из самых известных в мире источников информации, обучения и сертификации, его учебные программы отличаются строго практической направленностью и тесно связаны с программами сертификации. Сертификации Global Information Assurance Certification (GIAC) поддерживаются по различным специализациям, а их уникальность заключается в том, что в процессе сертификации проверяется не только знание кандидатом определенной тематики, но и способность применять это знание в реальных ситуациях.
Базовая сертификация — GIAC Security Essentials Certification (GSEC) — предназначена для сетевых администраторов, начинающих администраторов безопасности, менеджеров, которым необходимы знания по информационной безопасности не только на уровне концепций и принципов. После регистрации на экзамен в течение пяти месяцев выполняется практическое задание, а затем сдается два экзамена. Стоимость сертификации примерно 800 долл. Каждые два года сдается ресертификационный экзамен.
Сертификации SANS GIAC Specialist для профессионалов высокого уровня делятся на специализации. Среди них GIAC Certified Intrusion Analyst (GCIA), GIAC Certified Firewall Analyst (GCFW), GIAC Certified Incident Handler (GCIH), GIAC Certified Windows Security Administrator (GCWN), GIAC Certified UNIX Security Administrator (GCUX). Для сертификации GIAC Security Expert (GSE) требуется наличие всех пяти предыдущих, а также предъявляются дополнительные требования.
Сертификация Systems Security Certified Practitioner SSCP консорциума (ISC)2 менее распространена (всего 500-1000 специалистов) в отличие от другой сертификации, CISSP, этой же компании, но может рассматриваться как предварительная ступень к CISSP. Включает такие темы, как управление доступом, администрирование, аудит и мониторинг, риски, реагирование и восстановление, криптография, передача данных, вредоносный код и программное обеспечение. Для этой сертификации требуется опыт работы в сфере информационной безопасности не менее года.
Information Systems Audit and Control Association (ISACA, www.isaca.org) — ведущая профессиональная организация по управлению информационными системами, контролю и аудиту, а также безопасности информационных систем — поддерживает сертификации Certified Information Systems Auditor, CISA (35 тыс. специалистов) и Certified Information Security Manager, CISM (с 2004 г., 5 тыс. специалистов). CISM ориентирована на опытных администраторов систем/структур информационной безопасности, сфокусирована на управлении рисками информационных систем и включает принципы и методы защиты на концептуальном уровне. Экзамен проводится один раз в год в один день в 220 местах по всему миру и включает 200 вопросов, на которые необходимо ответить письменно. Продолжительность экзамена четыре часа, стоимость — 500 долл. Для получения сертификата требуется опыт работы в области информационной безопасности не менее пяти лет (не менее трех лет в сфере управления информационной безопасностью в областях, охватываемых экзаменом), а также необходимо подписать кодекс профессиональной этики и продолжать профессиональное обучение.
Сертификация Certified Information Systems Security Professional (CISSP) признана золотым стандартом для специалистов по информационной безопасности и является высшей международной оценкой квалификации специалиста по информационной защите. Она существует более 15 лет и насчитывает около 27 тыс. специалистов в 106 странах, из них 27 (всего 27!) в России (по состоянию на октябрь 2004 г.). В июне 2004 г. международная организация по стандартизации (ISO) официально одобрила программу сертификации на получение звания CISSP. CISSP — первая из сертификаций в области IT, признанная ISO/ANSI соответствующей международной системой тестов для специалистов разных профессий ISO/IEC/17024. Сертификация CISSP проводится консорциумом International Information Systems Security Certifications Consortium, или (ISC)2 (http://www.isc2.org), безусловным мировым лидером в области сертификации специалистов по информационной безопасности. В России, СНГ и странах Балтии представителем (ISC)2 является учебный центр «Микроинформ».
К претендентам предъявляются достаточно высокие требования. Необходимо иметь опыт работы не менее четырех лет в качестве специалиста по информационной защите, сдать экзамен, подписать Кодекс этики (ISC)2 и постоянно поддерживать свою квалификацию. Для подтверждения сертификации CISSP повторной сдачи экзамена не требуется, достаточно каждые три года проходить обучение на авторизованных курсах по информационной безопасности и принимать участие в конференциях по этой теме. Обучение на курсах по сертификационным программам MIS Training Institute (http://www.misti.com) («Управление информационной безопасностью организации», «Защита периметра сети», «Безопасность в Internet, Web и электронной коммерции») и участие в «Школе аудита информационных систем» засчитывается для подтверждения сертификации CISSP.
Сдача официального экзамена требует от кандидатов детального и всестороннего знания теории и практики информационной безопасности. Вопросы экзамена охватывают широкий диапазон проблем безопасности, основанных на «Общепринятом объеме знаний» (Common Body of Knowledge, CBK). СВК состоит из десяти тем, или, как их принято называть, доменов: методы управления информационной безопасностью, архитектура и модели безопасности, методология и системы управления доступом, безопасность разработки приложений и систем, безопасность операций, физическая безопасность, криптография, безопасность телекоммуникаций, сетей и Internet, планирование непрерывности бизнеса и планирование восстановления после сбоев, законодательство, расследования и этика.
В ходе шестичасового экзамена участники должны письменно ответить на 250 вопросов. Начиная с 2003 г. этот экзамен можно сдавать не только за рубежом, но и в России, на базе учебного центра «Микроинформ». «Общепринятый объем знаний» (СВК), количество вопросов и временные рамки — нелегкое испытание, с успехом выдержать которое может только профессионал, имеющий хорошую теоретическую базу и богатый практический опыт.
«Независимые» сертификации в некотором смысле более ценны. В связи с «независимостью» от производителей и поставщиков для получения такой сертификации требуется практический опыт работы в сфере информационной безопасности как для освоения предмета и приобретения знаний и навыков, так и для реального получения такого сертификата. Например, для TICSA требуется двухгодичный стаж работы, для CISSP — документально подтвержденный четырехлетний стаж работы в области информационной безопасности.
Две сертификации лучше, чем одна
Многие специалисты выбирают проторенную дорогу, начиная с приобретения навыков работы с решениями конкретных производителей, постепенно получая практический стаж и сертификацию от производителя и осознанно подходя к признанным сертификациям, имеющим статус «независимых» и дающим глобальный взгляд на все темы, связанные с информационной безопасностью, таким как CISSP.
Зам. директора учебного центра «Микроинформ» по развитию, инструктор, имеет сертификаты MCSE, MCT и Master CNI. http://www.microinform.ru