Лучшие сертификаты информационной безопасности. Гарантия качества обучения

В результате повышенного внимания к вопросам информационной безопасности растет потребность компаний в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя наличие сертификата не говорит о реальном уровне знаний человека, до сих пор во многих компаниях действует принцип «по одежке встречают».

Именно поэтому многие специалисты так стремятся получить заветную бумажку, которая, как они думают, может открыть им двери во многие российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования. Можно выделить четыре основные причины, которые влекут российских специалистов за каким-либо сертификатом по информационной безопасности.

Во-первых, подтверждение собственной квалификации (для себя «любимого»). Иногда это просто тщеславие и желание «похвастаться» перед окружающими. Во-вторых, возможность повышения зарплаты и большие возможности карьерного роста (в т.ч. и получение работы за границей). В-третьих, наличие сертификата может являться обязательным требованием при приеме на работу, но пока это редкое явление. В-четвертых, сертификат — это приобщение к сообществу специалистов.

На сегодняшний день существует две различных схемы сертификации специалистов в области безопасности, аналогичные схемам обучения. Первая схема не привязана ни к каким продуктам и охватывает различные аспекты той или иной технологии информационной безопасности. К такой схеме сертификации относится Certified Information System Security Professional (CISSP) или Certified Information System Auditor (CISA). Не менее известной является сдача экзаменов на получение статуса Certified Information Systems Auditor (CISA) в Information Systems Audit and Control Association (ISACA). Специалист, сертифицирующийся по второй схеме, зависит от конкретного продукта или решения, предложенного конкретной компанией. По такой схеме работают компании Cisco, Microsoft и другие. Существуют и смешанные системы сертификации.

Программа CISSP была разработана международным консорциумом по сертификации в области безопасности информационных систем (International Information Security Systems Certification Consortium, ISC2). Для получения данного статуса необходимо сдать экзамен, однако возможность сдать его имеет не каждый специалист, а только тот, кто обладает не менее 3-хлетним опытом работы в этой области (эта информация проверяется при регистрации на экзамен). Это достаточно стандартное требования для всех значимых сертификаций, что позволяет отсечь новичков.

Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется новыми. Самое важное, что текущий экзамен (кстати, сдается он на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях. Кроме того, в отличие от других систем сертификации в области информационной безопасности, он не привязан ни к какому конкретному производителю, что позволяет говорить о его независимости.

Экзамен на получение сертификата CISSP длится 6 часов и состоит из 250 вопросов, сгруппированных в 10 тем (т.н. доменов):

  • разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.);
  • сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и т.п.);
  • процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);
  • разработка безопасных приложений (вредоносный код, разработка ПО);
  • криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);
  • архитектура безопасности (модели безопасности и ее оценки, Общие критерии и т.д.);
  • эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т.п.);
  • непрерывность бизнеса (оценка ущерба, восстановление работоспособности);
  • законодательство (законы, расследование инцидентов);
  • физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).

Сдав экзамен, вы получаете сертификат, однако свой статус придется каждые 3 года. Это можно сделать двумя способами: повторной сдачей экзамена или «добычей» 120 так называемых кредитов, которые «зарабатываются» написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т.п.

Аналогичная схема действует и для многих других сертификаций по информационной безопасности и она оправдана — технологии и ситуация на рынке меняется очень быстро. А значит «почивать на лаврах» не придется — необходимо заниматься самообразованием и быть всегда в курсе последних новинок в данной области.

На сегодняшний день интерес к этому статусу в России очень высок. Если до 2003 года в России насчитывалось всего 2 сертифицированных эксперта, то сегодня на сайте ISC2 размещено 33 резюме тех, кто согласился открыть информацию о себе — реально же их в 1,5-2 раза больше, и это число будет только расти.

Аудиторию для данной сертификации составляют средний и высший уровень руководства в области информационной безопасности — архитекторы по безопасности, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.

Статус Systems Security Certified Practitioner (SSCP) был разработан консорциумом ISC2 для тех, кто пока не может сдать экзамен на статус CISSP или только готовится к нему, а также для тех, кто не стремится на руководящие позиции и ему не требуется более высокий статус от ISC2. Учитывая одного прародителя, сертификация SSCP очень похожа на CISSP за небольшим исключением. Во-первых, вместо 10-ти доменов экзаменуемые проверяются всего по 7-ми: разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.), безопасность данных, администрирование безопасности, криптография, аудит и мониторинг, вредоносное ПО, управление рисками, реагирование и восстановление.

Во-вторых, число вопросов сокращено вдвое — до125, также вдвое сокращено и время на экзамен — до 3 часов. И, наконец, для сдачи данного экзамена необходим опыт работы в течение 1-го года по специальности (вместо трех).

В обоих случаях (CISSP и SSCP) получению статуса предшествует подписание этического кодекса поведения (Code of Ethics), который описывает, как себя должен вести обладатель престижного сертификата. Такое требование является обязательным при получении многих сертификатов, например, CISA.

Учитывая, что статус SSCP является только остановкой на половине пути к CISSP и то, что появился он позже последнего, то абсолютное большинство российских специалистов стремится именно к CISSP — на сайте ISC2 зарегистрирован только один российский обладатель сертификата SSCP.

Специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты.

В 1969 году была основана Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), которая на сегодня является признанным лидером в управлении, контроле и поддержке информационных систем, продвижении открытого стандарта CoBIT и ратует за стандартизацию в области ИТ. Основная цель ассоциации — исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

Для того, чтобы контролировать соблюдение требований стандартов по управлению ИТ-инфраструктурой, ISACA (http://www.isaca.org/) предложила в 1978 году программу подготовки и сертификации аудиторов информационных систем (Certified Information Systems Auditor, CISA). Сегодня это самая известная программа подготовки внешних аудиторов (для внутренних аудиторов существует сертификация CIA от IIA). На сегодня статусом CISA обладают около 48000 аудиторов по всему миру.

Экзамен на получение данного статуса очень похож на CISSP — содержит 200 вопросов и занимает 4 часа. Различие состоит в темах, которые рассматривают в рамках курса подготовки и на экзамене. В данном случае внимание уделяется процессу аудита информационной системы (10 % всех вопросов), управлению ИТ-инфраструктурой (15 % вопросов), управлению жизненным циклом системам и инфраструктурой (16 %), доставке и поддержке ИТ-сервисов (14 %), защита информационных активов (31 %) и непрерывности и восстановлению бизнеса (14 %).

Как и в предыдущих сертификациях, для ее получения необходимо подписать соответствующий этический кодекс и обладать пятилетним опытом работы в области аудита, управления или безопасности. Требование 5-ти лет может быть снято, если кандидат обладает опытом проведения финансового аудита, 2 года был инструктором или имеет степень в университете, аккредитованном ISACA. Каждые 3 года статус CISA должен быть подтвержден.

Аудитория для данной сертификации: ИТ-аудиторы, аудиторы информационной безопасности, сотрудники компаний-интеграторов.

CISM

У сертификата Certified Information Security Manager (CISM) интересная история. Он был разработан ассоциацией ISACA, которая к тому моменту уже имела другую сертификацию — CISA. На сайте ISACA приводится такая причина появления статуса CISM: «сертификат CISSP является стандартом де-факто в области информационной безопасности, но за его долгую историю выявились определенные недоработки данной квалификационной схемы. Поэтому и появился статус CISM, который позволяет увязать информационную безопасность со стратегией развития бизнеса компании». Исходя из этого, можно сделать вывод, что сертификаты CISM и CISSP конкурируют между собой, хотя содержание данных двух программ различается очень сильно. Достаточно сравнить 10 доменов CISSP с содержанием программы CISM — никакой техники, только управление: связь стратегии ИБ с требованиями бизнеса (21 % всех вопросов), идентификация и управление рисками безопасности, влияющими на бизнес-цели (21 %), управление программой ИБ (21 %), направление всех активностей, связанных с ИБ (24 %), управление программой управления рисками и BCP (13 %).

Из программы видно, что далеко не каждый «технарь» способен пройти данную сертификацию. Неслучайно, чтобы получить статус CISM необходимо трудиться по части информационной безопасности не менее 5 лет и 3 из них в области управления.

Аудитория для данной сертификации: средний и высший уровень руководства в области информационной безопасности — CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.

GIAc

Институт SANS (System Administration, Networking and Security Institute) считается одним из признанных авторитетов в области безопасности. Помимо различных курсов, тренингов, публикаций и исследований, при SANS создан специальный центр анализа инцидентов (Global Incident Analysis Center, GIAc), который наряду с другой своей деятельностью предлагает и сертификацию технических специалистов по безопасности.

GIAc предлагает 3 уровня подтверждения своей квалификации — GSEc (базовый уровень), GCFW/GCIA/GCIH/GCNT/GCUX и GSE. В отличие от множества других технических сертификаций GIAc поступил разумно и выделил несколько направлений развития своих выпускников. Это межсетевые экраны, защита периметра и VPN — GIAc Certified Firewall Analyst — данный статус необходимо подтверждать каждые 4 года. Обнаружение атак — GIAc Certified Intrusion Analyst — данный статус необходимо подтверждать каждые 4 года. Управление инцидентами — GIAc Certified Incident Handling — данный статус необходимо подтверждать каждые 2 года. Уменьшение времени на ресертификацию связано с быстрым изменением ситуации на рынке «хакерских технологий» и необходимость соответствовать всем современным тенденциям. Безопасность Windows — GIAc Certified Windows Security — данный статус необходимо подтверждать каждые 2 года. Безопасность Unix — GIAc Certified Unix Security — данный статус необходимо подтверждать каждые 2 года.

Если вы хотите стать обладателем самой высокой ступени GIAc в области информационной безопасности — GSE (GIAc Security Engineer), то вам надо сделать совсем «чуть-чуть» — получить базовый статус GSEc и к нему еще все пять вышеперечисленных сертификаций — GCFW, GCIA, GCIH, GCNT и GCUX. Данная сертификация практически неизвестна в России, но на Западе она имеет такой же статус для технических специалистов, что и CISSP для руководителей служб информационной безопасности.

Такая трехуровневая схема является одной из самых правильных — постепенно наращивается потенциал как в знаниях и практике, так и в статусе. Например, у компании Cisco такая же наращиваемая схема сертификации специалистов по безопасности — Cisco Qualified Security Specialist, Cisco Certified Security Professional (CCSP) и Cisco Certified Internetworking Expert (CCIE Security). У других вендоров уровней обычно всего два — администратор и инженер (или профессионал и эксперт).

Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты, сотрудники групп реагирования на инциденты, ведущие специалисты по безопасности.

Что выбрать?

На этот вопрос вам никто не ответит кроме вас самих. Ваша будущая сертификация зависит от того, в какую фирму вы планируете и по какому профилю. Например, если вы пойдете в российскую фирму-разработчика средств защиты, то вам ни один из перечисленных ваше сертификатов не потребуется. Если ваша цель — компании большой четверки, то без CISA (а для Ernst&Young еще и CISSP) вам не обойтись. Если вы стремитесь управлять процессами информационной безопасности у своего работодателя, то здесь вам понадобится CISSP или CISM. И, наконец, если вы просто хотите быть хорошим администратором безопасности или входить в группу реагирования на инциденты, то лучше сконцентрироваться на получении «вендорских» сертификатов, SSCP или GIAc . Если же вы юрист и хотите заниматься расследованиями компьютерных преступлений, то вам понадобятся сертификаты, о которых выше не говорилось: CCCI (Certified Computer Crime Investigator), CCFT (Certified Computer Forensic Technician), CCCP (Certified Computer Crime Prosecutor) или CCCA (Certified Computer Crime Attorney). Иными словами, вы должны понимать вашу текущую роль и по какому пути вы пойдете в обозримом будущем.

Не стоит забывать, что сертификат только подтверждает ваши знания, а не наоборот. В конце концов, может статься, что если вы сотрудник первого отдела или специалист по борьбе с мошенничеством, то вам скорее подойдет сертификат CCO (Certified Confidentiality Officer) от частного агентства BECCA (Business Espionage Controls Countermeasures Association) или CFE (Certified Fraud Examiner) от ACFE (Association of Certified Fraud Examiners) соответственно. Эти сертификаты не являются общепризнанными и вряд ли знакомы большинству HR-менеджеров, но зато подготовка к их получению даст вам действительно полезные и нужные на вашей позиции знания.

Стоит ли так стремиться к сертификату? Некоторые готовы построить свой профессиональный и карьерный рост только через призму своего таланта — им не нужны никакие сертификации. Да и многие консультанты по карьере рекомендуют получать не сертификаты, а опыт работы в какой-либо крупной и «серьезной» компании, что гораздо больше влияет на карьеру и рост зарплаты, чем наличие какого-либо статуса. Но и сертификат не является совсем уж бесполезной вещью. Если у вас нет опыта работы в Cisco, IBM, Ernst&Young и вы не уверены в силе своего таланта, то «бумага с печатью» лишней не будет. Надо помнить, что когда резюме смотрит сотрудник отдела кадров, то у него перед глазами только 4-х и 5-ти буквенные аббревиатуры — опыт по информационной безопасности в резюме не покажешь. Поэтому при наличии сертификата шансы на первое интервью возрастают. А вот на первом и последующих интервью сертификат уже не будет играть столь важную роль. Хороший менеджер по персоналу будет обращать внимание на немного другие характеристики кандидата — умение работать в команде, мотивация, понимание корпоративных ценностей, готовность к обучению и т.д.

Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере информационной безопасности постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в таком объеме, как того требует их стратегия ИТ-управления.

Это означает, что существует только один вопрос: как лучше всего, с одной стороны, специалистам получить адекватное обучение (что сделает их более востребованными на рынке труда), а с другой стороны, предприятиям улучшить свои протоколы и процедуры безопасности (и продемонстрировать своим клиентам чувство безопасности)?
Правильные решения – это сертификаты безопасности, которые допускают сочетания минимальных требований, стандартизированного языка и профессионального кодекса этики.

Если мы, как специалисты и руководители предприятий решили взять курс в управлении ИТ-безопасностью, то рекомендуется выбирать сертификаты ведущих международных и независимых организаций. С учетом этого, в данной статье мы приводим некоторые из доступных наиболее серьезных сертификационных программ:

CISA / CISM
CISA и CISM– это две основные аккредитации, выдаваемые ассоциацией ISACA (Information Systems Audit and Control Association) – международной ассоциации, которая занимается сертификацией и методологией с 1967 года и насчитывает в своих рядах свыше 95 000 членов.
CISM (Certified Information Systems Manager) появилась позже, чем CISA, и предлагает аккредитацию в знании и опыте управления IT-безопасностью.
CISM предлагает основные стандарты компетенции и профессионального развития, которыми должен обладать директор по IT-безопасности, чтобы разработать и управлять программой IT-безопасности.

CISSP
Сертификат Certified Information Systems Security Professional (CISSP), выдаваемый ISC, - это один из самых ценных сертификатов в отрасли. Такие организации, как АНБ или Министерство обороны США используют его в качестве эталона.
Сертификат также известен как «в милю шириной и дюйм глубиной», т.е. указывает на ширину знаний (в милю), которые проверяются в рамках экзамена, а также на то, что многие вопросы не затрагивают изощренных подробностей концепций (только в дюйм глубиной).

COBIT
COBIT 5 (последняя протестированная версия) определяется как отправная точка, используемая правительственными учреждениями и предприятиями для IT-управления. Управляется ассоциацией ISACA совместно с IT Governance Institute.
COBIT разработан таким образом, чтобы адаптироваться для предприятий любого размера с различными бизнес-моделями и корпоративной культурой. Его стандарты применяются в таких сферах, как информационная безопасность, управление рисками или принятие решений относительно облачных вычислений.

ITIL
ITIL (IT Infrastructure Library) можно описать как пример надлежащей практики и рекомендаций для администрирования IT-сервисами с фокусом на администрировании процессами. Управляет этим сертификатом OGC (Office of Government Commerce) в Великобритании.
В то время как COBITS работает в вопросах управления и стандартизации предприятия, ITIL сконцентрирован на процессах, т.е. COBIT определяет «ЧТО», а ITIL – «КАК».

ISO / IEC 27000
Стандарт, опубликованный международной организацией по сертификации ISO и международной электротехнической комиссией IEC, выступает в качестве отправной точки для группы стандартов, обеспечивающих основы управления IT-безопасностью, которые могут использоваться любым типом организаций (некоммерческие, государственные, частные, большие или маленькие).

В отличие от других сертификатов, которые предназначены для физических лиц, этот сертификат в первую очередь рассчитан для предприятий.

Updated : Апреля 25, 2019

Джеймс Эдж

You’re our #1 priority .
100% of the time .

We believe everybody should be able to make online purchases with confidence . And while our website doesn’t feature every test prep company or review course in the universe , we’re proud that the advice we offer and the information we provide is accurate , truthful , objective - and entirely free .

So how do we actually make money ? It’s simple , our partners compensate us . While this may influence which products we review and write about , and where they show up on the site , it absolutely does not influence our recommendations or guidance , which are formed by hundreds of hours of research and analysis . Check out our partners .

What’s the bottom line ? We’re on your team and are passionate about helping you achieve your career goals , even if it means we don’t make a dime .

Перспективы занятости для людей, занимающих сертификаты информационной безопасности является чрезвычайно благоприятным, как использование технологии продолжает стремительно расти на рабочем месте.

Информационные системы стали необходимостью для того, чтобы компании, чтобы конкурировать в современном деловом мире и быстро растущий спрос профессионалов ИБ необходимы для защиты этой информации.

Угроза лиц злоупотребляя информацию вырос вместе это и есть популярная тема в средствах массовой информации и новостей. Компании стали более осведомлены о таких угроз и их нужно нанимать правильных людей продолжает расти.

Имея право INFOSEC Сертификация поможет вам выделиться среди других кандидатов и дать доверие к вашему набора навыков. Есть несколько учетных которые признаны во всем мире, и даже во многих правительственных учреждений. Мы перечислили некоторые из наиболее признанных сертификатов вместе с их требованиями, расходы, и даже там, где найти обучение. Получить серьезно относимся к вашей карьере InfoSec сегодня, высокий оплачиваемую работу в промышленности ждет вас!

1. CISSP – Сертифицированные информационные системы Security Professional

CISSP является всемирно признанным ИТ-сертификации, которая предлагается по сертификации консорциума международных информационных систем безопасности также известный как (ISC) 2 . It is awarded to individuals who have demonstrated a high level of competence in various fields of information security.These individuals are said to have expert understanding and skills which are vital to the creation , руководство, и управление стандартами безопасности в рамках профессиональных организаций. Есть более 93,000 CISSPs в течение 149 страны и даже необходимы для работы в некоторых отраслях промышленности. Настоятельно признана ИТ-организаций; следовательно, continually popular among IT pros.Candidates must meet several requirements including five years of work experience in two of (ISC) 2 "ы домены (основные области их тела знаний). The 10 домены в организме знаний включают: контроль доступа, Телекоммуникации и сетевая безопасность, управления информационной безопасности и управления рисками, разработке программного обеспечения, криптография, Архитектура безопасности и дизайна, Безопасность операций, непрерывности бизнеса и аварийного восстановления планирования, правовые / законодательство / исследования / и соблюдение, and physical security.For those with a four-year degree , только лет опыта работы требуется. Наряду с требованиями, предъявляемыми, есть также тщательное обследование, чтобы будущие CISSPs должны завершить. Экзамен состоит из 250 вопросы множественного выбора и имеет шесть часов срок. Проходной балл является 700+ из общего 1,000 points possible.There are three concentrations that can be added later to the CISSP to further specialize . Эти концентрации включают:
  1. CISSP Инжиниринг
  2. CISSP Архитектура
  3. Управление CISSP

CISSP Требования

  • 5 лет очного опыт в пределах 2 из 10 (ISC) 2 домены, или 4 лет опыта со степенью
  • Пасс, CISSP экзамен
  • Получите одобрение от(ISC) 2 Член
  • Подписаться на кодекс этики
  • Разместить все выше в 9 месяцев прохождения CISSP экзамен
  • Заменить сертификацию зарабатывать 40 Непрерывное профессиональное образование (CPE) кредитов в год, или 120 CPE кредитов в течение трех лет

Затраты CISSP

  • CISSP Экзамен Регистрация: $549
  • Экзамен Отмена Плата: $100
  • Плата Обработка заявок: $50 (только для определенных местах)
  • Годовой CISSP платы за обслуживание: $85

Дополнительные Ресурсы

2. CISA – Сертифицированный аудитор информационных систем

CISA является другое обозначение, которое является всемирно признанным в области аудита и информационных систем безопасности. Он выдается на информационные системы аудита и контроля Ассоциации (его) and is known for being a high paying certification.Information systems auditors are skilled in analyzing and implementing controls within an organizations IT infrastructure . Они помогают гарантировать, что компании имеют собственные системы в месте, чтобы достичь желаемых целей, для поддержания точности данных и отчетности, и для защиты данных компании и интеллектуальной собственности от кражи или потери. Большинство CISA держатели работа в качестве менеджеров аудиторских информационных технологий, директора, and consultants.Becoming a CISA is not an easy task as there are several requirements that must be met including : 5 лет опыта работы в относительных полях, прохождение сертификационного экзамена CISA, согласования и соблюдения кодекса этики, и зарабатывать 20 часов квалифицированных продолжающихся образовательных кредитов каждый год. Есть варианты, которые позволяют кандидатам заменить до 3 years of the work experience requirement with various types of formal education.The CISA Exam is known to be difficult as it has less than a 50% пройти курс среди тех, кто принимает его в первый раз. Кандидаты должны получить 450+ указывает из общего 800 точки, чтобы пройти. Это 200 множественным выбором вопрос экзамен, который состоит из пяти областей знаний, включая:
  1. Процесс аудита информационных систем
  2. Руководство и управление ИТ
  3. Информационные системы Приобретение, Развитие, и реализация
  4. Информационные системы Операции, Обслуживание и поддержка
  5. Защита информационных активов

CISA требования

  • 5 лет опыта работы полный рабочий день в соответствующей области знаний(может заменить до 3 лет с различными типами утвержденной образования)
  • Pass CISA экзамен (может быть принято до опыт работы достигается)
  • Подписаться на код ISACA в области этики
  • Применить для сертификации CISA в 5 лет прохождения экзамена
  • Поддерживать сертификацию зарабатывать 20 относительная Непрерывное профессиональное образование (CPE) кредитов в год
  • Платить ежегодные взносы на обслуживание сертификация

Затраты CISA

  • CISA экзамен Регистрация: $440 для ISACA членов и $625 для не-членов
  • Экзамен Перепланирование Плата: $50
  • Экзамен Отмена Плата: $100
  • Ежегодная плата за обслуживание CISA: $45 для ISACA членов и $85 для не-членов
  • Учебные материалы: Варьируется

Дополнительные Ресурсы

  • ISACA Официальный сайт

3. ЦВЗ – Сертифицированный Ethical Hacker

Для того, чтобы предотвратить компаний нежелательный доступ своих компьютерных систем и данных, они должны изучить свои собственные слабости безопасности. Это где Certified Этические Хакеры вступают в игру. Эти специалисты обучены, чтобы найти и исправить уязвимости безопасности ИТ системы, которые неэтично или “черная шляпа” hackers might try to find and exploit.They are required to become familiar with the same tools and techniques that malicious hackers might use , так что они могут лучше предотвратить нежелательные нарушения в безопасности. Кандидаты ЦВЗ должны научиться такие методы, как хакер разведки, сканирование, получение доступа, поддержание доступа, покрытия дорожек, and various types of system attacks.This mid-level certification is important for anyone hoping to work as an ethical hacker . Главное требование для получения этого удостоверения, чтобы сдать экзамен; однако, Есть немало шагов для получения права принять это. Для того, чтобы сидеть за экзамен ЦВЗ нужно просто заполнить официальную тренировку EC-Council, применять для получения права, и приобрести ваучер экзамена. Students who do not attend an official training will have to meet more educational and experience requirements.The CEH Exam is divided into 7 sections and are weighted as shown below. Candidates must get 70% или выше на 125 Вопрос экзамен в 4 hour period.I . Backround 4%,II . Analysis/Assessment 13%III . Security 25%IV . Tools/Systems/Programs 32%V . Procedures/Methodology 20%VI . Regulation/Policy 4%VII . Этика 2%

ЦВЗ Требования

  • Выполните официальный ЦВЗ обучение, чтобы претендовать на экзамен или отвечать следующим требованиям, чтобы претендовать:
  • 2 лет опыта информационной безопасности
  • Образование отражающие специализацию в области информационной безопасности
  • Право приложение плата $100
  • Отправить экзамен Eligibility Заявку
  • Купите официальный экзамен ваучер
  • Pass ЦВЗ экзамен (в 3 месяцев с момента утверждения заявки)
  • Заменить сертификацию зарабатывать 120 относительный (ЕЭК) кредиты каждый 3 лет
  • Платить ежегодные взносы на обслуживание сертификация

Затраты ЦВЗ

  • ЦВЗ экзамен ваучер: $500
  • Плата Право Применение: $100 (для тех, кто не принимает официальный концертный типа Тренинги)
  • Ежегодная плата за обслуживание: $20 Номера для ЕЭК схеме членов и $80 для ЕЭК Схема членов
  • Учебные материалы: Варьируется

Дополнительные Ресурсы

4. CISM – Сертифицированный менеджер информационной безопасности

CISM другой сертификации, которая предлагается на информационных систем аудита и контроля Ассоциации (его). Это является международно признанным и популярным среди кандидатов, которые также имеют CISA CISSP или обозначения. It is more focused on the management side of an information security program.Those holding this certification can be expected to understand how to develop and oversee a successful security program within a professional organization . Они находят критические проблемы безопасности в пределах предприятия и помочь создать системы, которые могут лучше управления информации. This certification helps bridge the gap between the audit side of information security and the IT side.Those looking to become certified will need to pass the CISM Exam , согласны с кодом ISACA в области этики, представлять доказательства из не менее пяти лет опыта информационной безопасности, и поддерживать сертификацию путем постоянного / абонентской платы образования. CISM Экзамен забил по шкале от 200 в 800, с 450 будучи проходной балл. Есть четыре домены или зоны фокусировки экзамена, которые включают:
  1. Управление по информационной безопасности – составляет примерно 24% экзаменационных вопросов
  2. Управление информационными рисками и соблюдение – составляет примерно 33% экзаменационных вопросов
  3. Информационная безопасность Программа развития и управления – составляет примерно 25% экзаменационных вопросов
  4. Управление инцидентами информационной безопасности – составляет примерно 18% экзаменационных вопросов

CISM Требования

  • CISM экзамен Pass (Может принимать до встречи требование впечатления)
  • Отправить подтвержденной свидетельством минимум 5 опыт работы лет (должны быть получены в течение 5 лет прохождения экзамена)
  • Согласитесь кодекса этики
  • Применить для сертификации CISM
  • Поддерживать сертификацию зарабатывать 20 часов CPE кредит каждый год, и, по крайней мере 120 контактных часов каждые 3 лет
  • Платить ежегодные взносы на обслуживание сертификация

Затраты CISM

  • CISM экзамен Регистрация: $440 для ISACA членов и $625 для не-членов
  • Экзамен Перепланирование Плата: $50 или $100 (зависит от того, как в начале заранее, вы перенести)
  • Экзамен Плата Обработка Возврат: $100 (должны запросить заранее запланированной даты испытаний кандидата)
  • CISM Плата Сертификация приложений: $50
  • Ежегодная плата за обслуживание CISM: $45 для ISACA членов и $85 для не-членов
  • Учебные материалы: Варьируется

По мере того, как облачное хранилище расширяется, и все более важная информация становится основанной на веб-интерфейсе, профессия информационной безопасности проявляет повышенный спрос на профессионалов, которые имеют опыт аудита сетевой безопасности, тестирования на проникновение и цифровой криминалистики расследование.

По мере того, как облачное хранилище расширяется, и все более важная информация становится основанной на веб-интерфейсе, профессия информационной безопасности проявляет повышенный спрос на профессионалов, которые имеют опыт аудита сетевой безопасности, тестирования на проникновение и цифровой криминалистики расследование.

Повышенный спрос на профессионалов в области безопасности является одной из причин того, что многие из высокооплачиваемых технических сертификатов имеют приоритет в области безопасности.

Вот семь наиболее популярных сертификатов, которые ориентированы на защиту информации.

1. CISSP - сертифицированный специалист по безопасности информационных систем

CISSP - независимая сертификация информационной безопасности.

Это означает, что он является нейтральным поставщиком и охватывает темы, связанные с информационной безопасностью по всему миру.

Когда речь идет о профессиональных индивидуальных сертификатах, это золотой стандарт. Он охватывает темы, включая:

  • безопасность и управление рисками
  • безопасность активов
  • безопасность сети
  • безопасность разработки программного обеспечения

Ваши недели до нескольких месяцев исследований завершатся интенсивным 6-часовым экзаменом на 250 вопросов, который стоит 599 долларов США. Это не дешево или легко, но передача - отличный способ доказать, что вы знаете свои вещи.

2. ISSAP - Архитектура безопасности информационных систем Professional

Сертификация CISSP имеет концентрацию в архитектуре безопасности информационных систем.

Примечание: ISSAP - это экзамен, сделанный кем-то, кто уже имеет сертификацию CISSP.

CISSP-ISSAP требует кандидата на двухлетний профессиональный опыт в области архитектуры. Это сертификат, часто запрашиваемый главными архитекторами безопасности и аналитиками, которые могут работать в качестве независимых консультантов или связанных с ними. Основные обязанности рабочих мест, связанных с ISSAP, обычно включают разработку или переработку общих планов безопасности.

Стоимость 3-часового экзамена ISSAP стоит 399 долларов США.

3. ISSEP - Information Systems Security Engineering Professional

Сертификация CISSP с концентрацией на разработку информационных систем безопасности.

По сути, изучение и принятие ISSEP дает вам основу для включения мер безопасности в проекты, приложения и все информационные системы.

ISSEP был впервые разработан совместно с Агентством национальной безопасности США (NSA). Он предоставил и по-прежнему предоставляет бесценный инструмент для любого специалиста по безопасности систем безопасности.

Как и ISSAP, это трехчасовой экзамен по цене 399 долларов.

4. ISSMP - Professional Systems Security Management Professional

Сертификация CISSP с концентрацией на управление безопасностью информационных систем.

ISSMP содержит элементы управления, такие как:

  • управление проектами
  • управление рисками
  • настройка и предоставление программы повышения осведомленности
  • и управление программой планирования непрерывности бизнеса

Обычно сертификация ISSMP держатели будут создавать рамки отделов информационной безопасности, а также определять средства поддержки группы внутри страны.

Это окончательный суб-сертификат CISSP с той же ценой и временными рамками, что и другие.

5. CISM - сертифицированный менеджер по информационной безопасности

Сертификат CISM, ориентированный на управление, способствует внедрению методов международной безопасности.

Для этого требуется пятилетний опыт работы в сфере безопасности.

Он был разработан для человека, который управляет, проектирует, контролирует и оценивает информационную безопасность предприятия.

CISM обычно стоит от 545 до 595 долларов (дешевле для членов ISACA). Это четырехчасовой экзамен с 200 вопросами.

6. CSSLP - сертифицированное защищенное программное обеспечение Lifecycle Professional

Сертификат CSSLP от (ISC) ² проверяет вашу компетентность в области безопасности приложений в течение жизненного цикла разработки программного обеспечения.

Те, кто получает CSSLP, доказывают свои навыки в разработке программы безопасности приложений в организации, а также снижают издержки производства, уязвимости приложений и задержки доставки.

Интенсивный 4-часовой экзамен поставляется с ценой $ 549.

7. SSCP - сертифицированный специалист по безопасности систем

SSCP показывает способность человека решать оперативные требования и обязанности специалистов по безопасности.

Это включает:

  • аутентификация
  • тестирование безопасности
  • обнаружение / предотвращение вторжений
  • ответ на инцидент и восстановление
  • атак и контрмер
  • криптография
  • и контрмеры вредоносного кода.

SSCP - это идеальный инструмент для тех, у кого есть проверенные технические навыки и практические знания в области безопасности в практических операционных ИТ-ролях. Вы заплатите 250 долларов за трехчасовой экзамен.

Сертификаты могут пройти долгий путь, чтобы доказать свои знания в области, и изучение этого может очень помочь превратить вас в эксперта, если вы еще этого не сделали. Не скупитесь на экзамены по практике и наслаждайтесь новыми рабочими местами, на которые вы можете получить эти сертификаты.

Продолжая начатую в прошлой заметке тему кадров в банковской информационной безопасности (ИБ), хотел бы посмотреть на нее с другой стороны, а точнее, с позиции Банка России, который тему повышения квалификации специалистов по ИБ взял под свой особый контроль. Впервые об этом упомянули в текущем году на Уральском форуме по ИБ банков, и руководство Главного управления безопасности и защиты информации Банка России в интервью газете «Ведомости» подтвердило это.

Конкретика стала появляться после апрельского заседания Госдумы, посвященного стратегии развития финансового рынка, где первый заместитель председателя правления ЦБ Сергей Швецов говорил об обязательности подтверждения своей квалификации по вопросам кибербезопасности для сотрудников банков.

Выдавать сертификаты по специальностям сегодня могут только 13 аккредитованных ЦБ учебных центров

По его словам, «сегодня ЦБ позволяет получить сертификаты по семи направлениям деятельности. Все эти семь направлений касаются рынка ценных бумаг». Обязательные сертификаты требуются от специалистов, осуществляющих брокерскую, дилерскую, клиринговую, депозитарную деятельность; отвечающих за управление ценными бумагами, инвестиционными фондами, ПИФами и НПФ, проведение организованных торгов, ведение реестра владельцев ценных бумаг, специализированных депозитариев, деятельность НПФ. Выдавать сертификаты по этим специальностям сегодня могут только 13 аккредитованных ЦБ учебных центров.

По мнению Сергея Швецова, «этого, безусловно, недостаточно. Мы как минимум, еще три сертификата хотим ввести: управление активами, внутренний аудит и кибербезопасность ». Это означает только одно: от специалистов по ИБ, желающих пойти на работу в банк, потребуется обязательное подтверждение своей квалификации (что делать уже работающим специалистам, вопрос пока открытый), которое может быть оформлено только в специализированном учебном центре.

Такое внимание регулятора отражает высокоуровневые опасения ЦБ относительно кибербезопасности финансовых рынков России, что и требует новых компетенций от банковских специалистов. На Уральском форуме у Швецова была очень интересная презентация , посвященная взгляду финансового регулятора на эту проблему.

Какие знания необходимо иметь будущему банковскому безопаснику? Об этом пока неизвестно, но Сергей Швецов в своем выступлении даже упомянул, что по инициативе ЦБ сейчас переводится некий лондонский курс по кибербезопасности, который может в долгосрочной перспективе (пять лет) стать обязательным для сотрудников, мечтающих пойти в банковскую сферу. Пример Великобритании в данном контексте не случаен. По словам Шевцова на заседании Госдумы, именно британский выпускник, закончивший высшее учебное заведение либо уже поработавший в финансовой организации, если он желает продолжить карьеру, должен получить дополнительное финансовое образование по одному из 59 направлений деятельности, включая и кибербезопасность. Этот опыт Банк России хочет перенять и внедрить у нас.

Согласно недавно опубликованным данным компании Pricewaterhouse Coopers, источниками кибератак в финансовом мире в 44% случаев являются собственные, а в 28% бывшие сотрудники банка. Хакеры заняли почетное третье место с 26%, а финальную позицию в опросе заняли конкуренты с 20%. Иными словами, хакеры не являются основным источником угроз для финансовых организаций.

Список тех, кто сможет обучать банкиров по вопросам кибербезопасности, еще не определен, и я могу предположить, что за аккредитацию в Банке России будет жесткая конкуренция. Сегодня 13 учебных центров, аттестующих специалистов по ценным бумагам, не проводят обучения по информационной безопасности и не имеют квалифицированных преподавателей нужного профиля в своем составе. В то же время традиционные центры обучения вопросам защиты информации не имеют опыта аккредитации в Центробанке, так как эта деятельность исторически регулировалась Федеральной службой по техническому и экспортному контролю (ФСТЭК) или Федеральной службой безопасности (ФСБ), которые и согласовывали программы обучения специалистов по кибербезопасности.

Банки увольняют своих безопасников, а финансовый регулятор, наоборот, ужесточает требования к их компетенциям

Также неизвестно, когда новые требования по сертификации специалистов будут введены. В отношении управления активами и внутреннему аудиту разговоры идут о том, что требования станут обязательными в течение двух с половиной лет. Применительно к кибербезопасности Сергей Швецов в Магнитогорске говорил о пятилетнем периоде, и я думаю, стоит ориентироваться именно на такой срок. Получается парадоксальная ситуация: банки увольняют своих безопасников, а финансовый регулятор, наоборот, ужесточает требования к их компетенциям, тем самым показывая важность этой профессии для обеспечения стабильности финансовой системы Российской Федерации.

Однако ждать пять лет, когда ЦБ раскроет все секреты и расскажет, какими знаниями и компетенциями должен будет обладать банковский безопасник, не придется. Уже сейчас Банк России в рамках основанного им при Ростехрегулировании Технического комитета №122 (ТК 122) по стандартизации финансовых услуг готовит рекомендации по квалификационным требованиям к специалистам по ИБ в кредитно-финансовых организациях.

Пока это проект, структура его понятна. Совокупность требований, предъявляемых к специалистам по обеспечение ИБ организаций кредитно-финансовой сферы РФ, включает требования к:

  • уровню базового образования;
  • направлениям специализации и опыту работы;
  • подготовке по видам деятельности;
  • совокупным профессиональным знаниям и навыкам.

Иными словами, обычного высшего образования даже в области информационной безопасности будет явно недостаточно для того, чтобы рассчитывать на аттестацию и последующий прием на работу в банковскую службу ИБ. Когда-то я уже писал об альтернативном курсе по ИБ для современного безопасника, указывая те дисциплины, которых явно не хватает современным выпускникам вузов, которых готовят по федеральным государственным образовательным стандартам в области защиты информации. Не могу сказать, что все изложенные три года назад мысли войдут в портфель новых знаний банковских специалистов по ИБ, но многие дисциплины уж точно.

Пока остается без ответа целый ряд вопросов. Ответы на них мы получим в среднесрочной перспективе - два-три года

Пока остается без ответа целый ряд вопросов. Будет ли переходный период в части новых требований? Какова будет судьба действующих банковских безопасников, которые по каким-то причинам не соответствуют требованиям и не имеют нужных сертификатов? Думаю, ответы на них мы получим в среднесрочной перспективе - два-три года. Упомянутый же выше проект рекомендаций, скорее всего, примут до конца этого календарного года. А пока стоит заняться повышением квалификации. Пять лет, о которых говорил первый зампред Банка России Сергей Швецов, не такой уж и большой период, который надо суметь потратить с пользой. Все-таки многие дисциплины, которые понадобится изучать будущей элите банковской ИБ, требуют немало времени, которого в современном динамичном мире безопасности явно не хватает.