ОБУЧЕНИЕ

По одёжке встречают

В последнее время на фоне повышенного интереса к информационной безопасности многие компании создают или расширяют свои штаты по защите информации, а следовательно, испытывают потребность в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя это еще не говорит о реальном уровне знаний человека, принцип "по одежке встречают" пока никто не отменял, и он действует во многих компаниях.

Именно поэтому специалисты стремятся получить заветную бумажку, которая может открыть им двери в российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования при приеме на работу.

Считается, что высший уровень признания в области информационной безопасности обеспечивает статус CISSP (Certified Information Systems Security Professional).

Что такое CISSP

Программа CISSP (www.isc2.org) была разработана международным консорциумом по сертификации в области безопасности информационных систем (International Information Security Systems Certification Consortium, ISC2). Для получения данного статуса необходимо сдать экзамен, однако сделать это может лишь специалист, не менее трех лет проработавший в данной области (информация о претендентах проверяется при регистрации на экзамен).

Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется 100-150 новыми вопросами. Самое важное, что текущий экзамен (он сдается на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях. Кроме того, в отличие от других систем сертификации в области информационной безопасности, данный экзамен "не привязан" ни к какому конкретному производителю, что позволяет говорить о его независимости.

Экзамен на получение сертификата CISSP длится шесть часов и состоит из 250 вопросов, сгруппированных в десять тем, или доменов:

· разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т. п.);

· сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и др.);

· процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);

· разработка безопасных приложений (вредоносный код, разработка ПО);

· криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);

· архитектура безопасности (модели безопасности и ее оценки, общие критерии и т. д.);

· эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т. п.);

· непрерывность бизнеса (оценка ущерба, восстановление работоспособности);

· законодательство (законы, расследование инцидентов);

· физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).

Редакция обратилась к генеральному директору учебного центра "Микроинформ" Борису Фридману с просьбой прокомментировать статью Алексея Лукацкого.

"Микроинформ" - одна из ведущих организаций, занимающихся подготовкой и сертификацией специалистов по информационной безопасности и аудиту информационных систем, и пока единственная российская компания, имеющая соглашения с MIS Training Institute и (ISC)2 - мировыми лидерами в области обучения специалистов по информационной защите. Целесообразность использования их опыта в России ставит под вопрос Алексей Лукацкий, известный эксперт в сфере информационной безопасности, мнение которого редакция не может игнорировать.

Прочитав материал "Нужен ли в России CISSP?", поначалу я просто не хотел на него реагировать. Настолько неуместной мне показалась сама постановка вопроса. Тем не менее, не вступая в полемику с автором по техническим аспектам, затрагиваемым в публикации, хочу высказать некоторые соображения относительно вопроса, вынесенного в заголовок публикации.

Убежден, что в условиях, когда наша страна начала уверенное движение, направленное на сближение с передовыми мировыми державами, когда государственные руководители ведут интенсивный диалог на разных уровнях с ведущими странами Запада, препятствовать каким-либо образом возможности наших специалистов по информационной безопасности получать общепризнанный и самый распространенный во всем мире сертификат по крайней мере представляется странным.

Это не имеет никакого отношения к предложению автора вводить в России самостоятельные сертификации по рассматриваемой проблеме. Данное предложение не вызывает никаких возражений. Международная сертификация и сертификация российская - это два совершенно разных вопроса. Первая уже существует, и ее имеют десятки тысяч специалистов по информационной безопасности во всех развитых странах мира. Вторая представляет предмет большой и серьезной работы, которую еще необходимо проделать.

Б. М. Фридман, генеральный директор "Микроинформа" 

На каждый из вопросов имеется четыре варианта ответов, из них один - правильный. Ответить надо на 70% вопросов.

Сдав экзамен, можно потирать руки, ожидая получения сертификата, однако с этого момента спокойная жизнь закончится: подтверждать свой статус придется каждые три года. Это можно сделать либо путем повторной сдачи экзамена, либо "добыв" 120 так называемых кредитов, которые "зарабатываются" написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т. п.

Можно назвать шесть основных причин для получения статуса CISSP:

· подтверждение собственной квалификации;

· возможность повышения зарплаты;

· возможность карьерного роста (в том числе и получение работы за границей);

· статус CISSP - обязательное требование при приеме на работу (как правило, в зарубежных компаниях и их представительствах);

· желание похвастаться перед окружающими;

· приобщение к сообществу специалистов.

В последнее время возрос интерес к этому статусу и в России. Если до 2003 г. в нашей стране насчитывалось всего два сертифицированных эксперта (в НИП "Информзащита" и российском представительстве компании Ernst&Young), то первый проведенный у нас в начале нынешнего года экзамен (до этого получить статус CISSP можно было только за рубежом) увеличил их число до двух десятков человек (во всем мире таких специалистов насчитывается около 23 000).

Что нужно в России

Казалось бы статус CISSP - это именно то, что нужно отечественным специалистам, но, к сожалению, это не совсем так. Данная программа подходит в основном только для зарубежных специалистов и слабо применима в России. Наша страна - одна из немногих, где создана и развивается собственная школа информационной безопасности (не только криптографии). За последние десятилетия у нас разработаны свои стандарты, модели, алгоритмы и законы информационной безопасности, зачастую они лучше, чем за рубежом, но практически всегда несовместимы с ними. А следовательно, программа CISSP для России, вопреки тому, что говорят ее апологеты, - вещь не слишком подходящая.

Перефразируя известную поговорку "что немцу смерть...", можно утверждать, что западная программа обучения требует серьезной доработки для ее эффективного использования в России.

Но зачем дорабатывать, когда можно создать свое? Разумеется, нет необходимости городить огород и создавать "с нуля" свою систему сертификации в области информационной безопасности. Можно воспользоваться всеми достоинствами программы CISSP и привнести в нее отечественный опыт. Если посмотреть на вышеприведенный список тем, рассматриваемых в рамках программы CISSP, то можно увидеть, что содержание пяти доменов (криптография, физическая безопасность, законодательство и отчасти процедуры управления безопасностью и эксплуатация инфраструктуры безопасности) будет коренным образом отличаться от того, что принято на Западе.

Разработанную систему обучения и сертификации можно "провести" через соответствующие государственные ведомства (ФСБ, Гостехкомиссию России, Министерство образования и др.), тем самым создав единую для всех систему, имеющую государственную поддержку. Кстати, ISC2 сейчас наступил на те же грабли и начал разработку системы сертификации для Агентства национальной безопасности США.

Заключение

В заключение хочу отметить, что пора прекратить во всех случаях ориентироваться на Запад. Многое мы можем создавать лучше, и уж тем более программу обучения в области информационной безопасности, ориентированную на отечественных специалистов. Мало того, разработав такую систему, можно, приложив еще немного усилий, внедрить ее в сферу высшего образования, тем самым создав для будущих выпускников реальную возможность найти достойную работу, а не плодить "теоретиков", не только не имеющих практического опыта, но и не понимающих специфики деятельности на отечественном рынке информационной безопасности.

С Алексеем Лукацким можно связаться по адресу: luka@infosec.ru.