10 Июня, 2013

Оценка защищенности ИТ систем: профильные сертификации специалистов

BMS Consulting
При выборе поставщика услуг перед принятием решения часто возникает вопрос оценки качества работы этого поставщика. Для этих целей могут использоваться различные подходы и инструменты , например:
  • Отзывы предыдущих заказчиков
  • Отзывы других поставщиков услуг - конкурентов
  • Оценка профильных знаний и навыков сотрудников поставщика
  • Оценка опыта работы по направлению в компании поставщика
  • Оценка репутации и знаний отдельных консультантов в составе проектной группы
Поскольку услуги заказывают чаще всего компании, которые по разным причинам не могут выполнить работы самостоятельно, то оценить знания и опыт компании-поставщика по направлению предоставления услуги может быть непросто. Да и знакомых среди других заказчиков, которые работали с этим поставщиком, может не оказаться. Как быть в такой ситуации?

Тут могут пригодиться различные профессиональные организации и ассоциации, которые предлагают системы сертификации персонала и компаний по разным профессиональным направлениям.

Сертификация позволяет получить сторонний взгляд на качество услуг и упрощает потенциальным заказчикам задачу выбора. При наличии на рынке адекватных сертификаций, процесс оценки знаний и качества предоставления услуг может быть заменен анализом действующих сертификатов у компании и ее сотрудников, а также их количества. Это, конечно же, не исключает рассмотрение других факторов выбора, таких как анализ отзывов.

Для проектов оценки защищенности ИТ систем (например, исследований на уязвимость и тестов на проникновение) существуют специальные сертификации, которые позволяют оценить квалификацию поставщика. Мы попытались сделать краткий обзор наиболее популярных сертификаций по информационной безопасности и их применимости в этом направлении. Для удобства сравнения сертификаций мы оценили их по двум критериям.

Сложность и требуемые знания для получения сертификата. Этот параметр определяет, насколько глубоко нужно понимать соответствующую область знаний и насколько сложно специалисту пройти необходимую квалификацию для получения сертификата. Также, этот параметр определяет сложность поддержки сертификата в актуальном состоянии.

Применимость сертификата для выполнения проектов по оценке защищенности. Этот параметр определяет, насколько область знаний, требуемая сертификатом, соответствует области знаний, требуемой для выполнения таких проектов.

CEH


Сертификация CEH (Certified Ethical Hacker) является профессиональной сертификацией, предлагаемой и поддерживаемой неприбыльной организацией International Council of E-Commerce Consultants ( EC-Council ). Эта организация включает в себя ряд компаний – членов, заинтересованных в развитии безопасных технологий и продвижении электронной коммерции. Организация занимается сертификацией специалистов по различным навыкам в областях информационной безопасности и электронного бизнеса.

Сертификация подтверждает знания и навыки поиска уязвимостей в информационных системах и использования различных инструментов для эксплуатации этих уязвимостей с целью получения доступа к системе, эскалации привилегий и т.д. - для демонстрации рисков информационной безопасности заказчику услуг.

Для получения сертификата необходимо сдать экзамен в одном из центров тестирования (VUE, Prometric) и подтвердить минимум 2 года опыта работы в области информационной безопасности.

Подтверждение сертификации происходит путем набора необходимого количества часов дальнейшего обучения (CPE, Continuing Professional Education) по направлениям, которые подтверждаются EC-Council. За трехлетний цикл необходимо набрать 120 часов обучения.

По состоянию на 1 января 2012 года организация EC-Council сертифицировала 50,000 специалистов.

CISM (from ISACA)


Сертификация CISM (сертифицированный менеджер информационной безопасности, Certified Information Security Manager) является независимой сертификацией по информационной безопасности, которая предлагается неприбыльной организацией ISACA , которая фокусируется на стратегическом управлении ИТ. Ранее аббревиатура ISACA расшифровывалась как Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association).

Сертификация СISM охватывает различные области знаний информационной безопасности, а именно:
  • Стратегическое управление информационной безопасностью (Information Security Governance, доля - 24%)
  • Управление рисками информационной безопасности и соответствие требованиям (Information Risk Management and Compliance, доля - 33%)
  • Развитие и управление программой информационной безопасности (Information Security Program Development and Management, доля - 25%)
  • Управление инцидентами информационной безопасности (Information Security Incident Management, доля - 18%)
Сертификация СISM представляет больше управленческие вопросы, нежели технические вопросы. Эта сертификация включает в себя широко признанные практики управления ИБ, при которых задачи информационной безопасности согласовываются с задачами бизнеса.
Для получения сертификата необходимо сдать экзамен в центрах тестирования, которые организовываются локальными подразделениями ISACA. Экзамены проводятся дважды в год в один и тот же день по всему миру. Кандидаты сдают экзамен в письменной форме, экзаменационные работы проверяются централизовано. Также для получения сертификата необходимо подтвердить минимум 5 лет опыта работы в области управления информационной безопасностью и получить рекомендации.

По состоянию на 2013 год количество сертифицированных специалистов, обладающих сертификацией CISМ составило около 21 400.

CISA (from ISACA)


Сертификация CISA (сертифицированный аудитор информационных систем, Certified Information System Auditor) является независимой сертификацией информационной безопасности, которая предлагается неприбыльной организацией ISACA , которая фокусируется на стратегическом управлении ИТ. Ранее аббревиатура ISACA расшифровывалась как Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association).

Основные задачи, которые ставит сертификация СISA:
  • Предоставление инструмента оценки компетентности аудиторов информационных систем
  • Создание мотивационного инструмента для поддержки аудиторами информационных систем их знаний и навыков
  • Предоставление руководству критериев для отбора и развития персонала
Сертификация СISA охватывает различные области знаний информационной безопасности, а именно:
  1. Процесс аудита информационных систем (The Process of Auditing Information Systems, доля - 14%)
  2. Стратегическое управление и управление ИТ (Governance and Management of IT, доля - 14%)
  3. Приобретение информационных систем, развитие и внедрение (Information Systems Acquisition, Development and Implementation, доля - 19%)
  4. Эксплуатация, поддержка и сопровождение информационных систем (Information Systems Operations, Maintenance and Support, доля - 23%)
  5. Защита информационных активов (Protection of Information Assets, доля - 30%)
Для получения сертификата необходимо сдать экзамен в центрах тестирования, которые организовываются локальными подразделениями ISACA. Экзамены проводятся дважды в год в один и тот же день по всему миру. Кандидаты сдают экзамен в письменной форме, экзаменационные работы проверяются централизовано. Также для получения сертификата необходимо подтвердить минимум 5 лет опыта работы в области аудита информационных систем и получить рекомендации.

По состоянию на 2013 год количество сертифицированных специалистов, обладающих сертификацией CISA составило более 100 000.

CISSP (from ISC2)

Сертификация CISSP (Certified Information System Security Professional) является независимой сертификацией информационной безопасности, которая предлагается международным консорциумом (неприбыльной организацией) ISC2 ( International Information Systems Security Certification Consortium ).

Сертификация охватывает вопросы информационной безопасности в следующих областях:
  • Контроль доступа (Access control)
  • Безопасности телекоммуникаций и сетей (Telecommunications and network security)
  • Стратегическое управления ИБ и управление рисками (Information security governance and risk management)
  • Безопасность разработки приложений (Software development security)
  • Криптография (Cryptography)
  • Дизайн и архитектура безопасности (Security architecture and design)
  • Безопасности операционной деятельности (Operations security)
  • Обеспечение непрерывности бизнеса и планирование восстановления в случае катастроф (Business continuity and disaster recovery planning)
  • Юридические вопросы, соответствие регуляторам, расследования (Legal, regulations, investigations and compliance)
  • Физическая безопасность (Physical (environmental) security)

Сертификация ориентирована на технические вопросы и на вопросы управления информационной безопасностью.

Для получения сертификата необходимо сдать экзамен в одном из центров тестирования VUE и подтвердить минимум 5 лет опыта работы в области информационной безопасности и получить рекомендации.

Подтверждение сертификации происходит путем набора необходимого количества часов дальнейшего обучения (CPE, continuing professional education) по направлениям, которые подтверждаются ISC2. За трехлетний цикл необходимо набрать 120 часов обучения.

По состоянию на январь 2013 года, в мире сертифицировано 85 285 специалистов в 143 странах.

CCIE (Cisco Certified Internetworking Expert)

Сертификация CCIE представляет собой техническую сертификацию от ведущего производителя сетевого оборудования, компании Cisco Systems.

Сертификация подтверждает знания и навыки, которые требуются для планирования, эксплуатации, поиска и устранения проблем в сложных интегрированных сетевых инфраструктурах, которые строятся на оборудовании Cisco Systems. По версии самой компании Cisco Systems, эта сертификация является наиболее престижной сертификацией в области компьютерных сетей. Только 3% всех инженеров, работающих с оборудованием Cisco Systems получают эту сертификацию.

Для получения сертификата необходимо успешно сдать теоретический экзамен в одном из центров тестирования VUE и успешно сдать 8-часовой практический экзамен (лабораторная работа) в одном из 10 центров тестирования в мире (Бангалор (Индия), Пекин, Брюссель, Дубаи, Гонг-Конг, Роли (Северная Каролина), Сан-Хосе (Калифорния), Сан-Пауло, Сидней и Токио).

Подтверждение сертификации выполняется повторной сдачей теоретического экзамена раз в два года.

Ориентировочно для получения сертификата необходима подготовка по различным областям знаний, которая занимает 18 месяцев.

По состоянию на январь 2012 года, в мире сертифицировано 26 564 специалистов, обладающих сертификатом CCIE.

ISO 27001 Lead auditor

Сертификация ведущего аудитора согласно стандарту ISO/IEC 27001 (ISO/IEC 27001 Lead Auditor) направлена на аудиторов, которые специализируются в области аудита систем управления информационной безопасностью.

Сертификация предлагается аккредитованными организациями, такими как BSI .

Для получения сертификата необходимо пройти тренинг в аудитории и успешно сдать экзамен. Также нужно подтвердить 5 лет опыта работы по соответствующему направлению.

Другие сертификации

В этом посте мы попытались охватить часто всречаемые на территории стран СНГ сертификации в области информационной безопасности, которые связывают с выполнением тестов на проникновение. В следующем посте мы опишем сертификации, которые являются более редкими, однако более полно соответствуют направлению указанных проектов.
или введите имя

CAPTCHA
mike
13 Июня, 2013
Какова практическая польза от этих сертификатов, учитывая, что ни один из них не подразумевает знание Российских ГОСТов, и других документов регуляторов.
0 |