Сертификации CompTIA для ИТ-специалистов. Часть 4 из 7. CompTIA Security+

  • Tutorial


Пашков Кузьма — Lead InfoSec, EMC trainer @ training.muk.ua/courses/security

0. Информационная безопасность как вид деятельности


Первый значимый опыт работы в сфере обеспечения информационной безопасности (далее ИБ) я получил в лаборатории разработки средств защиты информации одного из крупнейших системных интеграторов Северо-Запада в начале 2000х. Лаборатория обеспечивала полный цикл создания автоматизированных систем в защищенном исполнении: начиная с научно-исследовательских, опытно-конструкторских работ, продолжая потоковым созданием систем защиты, и заканчивая организацией их гарантийного обслуживания.

Создаваемые системы предполагалось использовать как в режиме коммерческой, так и гостайны, поэтому они в обязательном порядке проходили аттестацию/испытания на соответствие классу/уровню защищенности. Профессиональный состав коллектива лаборатории блистал выходцами лучших военных ВУЗов страны (ВКА им. А.Ф. Можайского и ВАС им. С.М.Буденного), такими как Зима Владимир и Сохен Виктор. В то же время к работе в лаборатории в качестве инженеров пуско-наладчиков привлекались студенты, обучающиеся по направлению "защита информации", вроде меня.

Системы создавались на основе оборудования Hewlett-Packard, программного обеспечения Microsoft и средств защиты информации НИП Информзащита. Заказчик предъявлял жестокие требования к квалификации персонала Исполнителя, поэтому руководство лаборатории выделяло бюджет на обучение и сертификацию. Причем если с авторизованными курсами и сертификациями вендоров (HP, Microsoft, Информзащита) все было очевидно, то в части касающейся минимального набора знаний и навыков по информационной безопасности была неопределенность.

Соискатели на вакансию инженера показывали абсолютно разный уровень подготовки в ИБ, и руководством было принято волевое решение использовать в качестве входного требования наличие вендорнезависимого сертификационного статуса CompTIA Security+. Этот выбор был очевиден, так как национальных аналогов данной сертификации не было, а статусы CompTIA A+, Network+ и Server+ уже успешно использовались другими подразделениями интегратора при наборе и обучении персонала. Вообщем, я начал готовиться к своей первой сертификации в ИБ.

1. Знакомство с сертификацией


Информационная безопасность находится на стыке целого ряда наук, а в связи со взрывным ростом рисков ИБ является еще и динамично развивающейся научной дисциплиной. Именно поэтому задача определения минимального набора знаний и навыков по ИБ требует системного подхода с непрерывным анализом состояния рынка информационных технологий и регулярной корректировкой этого набора.

Уже более 13 лет эту задачу успешно решает крупнейший оператор вендорнезависимых сертификаций Computing Technology Industry Association (CompTIA) под контролем American National Standarts Institute (ANSI) в соответствии с семейством открытых стандартов обучения и сертификации ISO/IEC Standart 17024.

За эти годы сертификация Security+ переопределяла набор знаний и навыков по основам ИБ 4 раза. Первая итерация имела вид компьютерного теста с кодом SY0-101 и сдавал я ее в качестве начинающего инженера-конструктора в центре тестирования Prometric, оплатив 250$ за попытку сдачи. В 2015 году на момент написания этой статьи актуальной является 4я версия теста с кодом SY0-401, ее я тоже сдал уже из профессионального интереса как преподаватель авторского курса подготовки к данной сертификации.
Экзамен SY0-401 состоит из 100 вопросов на английском языке, длится 90 минут (плюс 30 минут для тех кто не является носителем языка), и проверяет как теоретические знания, так и практические навыки в 6 доменах (темах):

1) безопасность сети
2) соответствие требованиям и безопасность операций
3) угрозы и уязвимости
4) безопасность приложений, данных и хостов
5) контроль доступа и управление сущностями
6) криптография

Обширный список требований к кандидатам на сдачу экзамена можно представить в следующем виде:

— знание фундаментальных принципов разработки и реализации комплекса мер по управлению рисками ИБ;

— знание справочной информации об устоявшихся политиках/стандартах/процедурах ИБ, особенностях безопасного использования современных информационных технологий, уязвимостях и общем представлении об ассоциированных с ними атаках;

А также практические навыки использования общедоступных средств защиты информации, реализующих дискреционную (в операционных системах Windows/Linux) и ролевую (в бизнес-приложениях) модели контроля доступа.

2. Методика подготовки


Для тех кто не учился по моей специальности и не имеет опыта работы в ИБ, но специализируется на информационных технологиях, крайне советую получить или хотя бы подготовиться (без непосредственной сдачи экзаменов) к сертификациям CompTIA A+, Network+ и Server+ — именно они указаны во входных требованиях к кандидатам Security+.

Мне же обучениев ВУЗе по специальности «Защита информации» дало понимание фундаментальных принципов обеспечения ИБ, а работа в коллективе инженеров-конструкторов, потоково создающих системы защиты, позволила применить это понимание на практике при решении прикладных задач. Поэтому постараюсь описать самые очевидные принципы для каждого домена:

1) безопасность сети: понятие периметра сети и реализация функций контроля в его точках; контроль доступа к среде передачи данных организации и защита данных в процессе передачи по каналам связи;

2) соответствие требованиям и безопасность операций: законы и регуляторы как основные источники требований к системе защиты; организационно-распорядительная, конструкторская/эксплуатационная документация;

3) угрозы и уязвимости: источники угроз и их особенности; количественная и качественная оценка рисков;

4) безопасность приложений, данных и хостов: варианты декомпозиции автоматизированной системы и реализация функций контроля над ее результатами;

5) контроль доступа и управление сущностями: суть контроля; жизненный цикл атрибутов доступа и управление привилегиями;

6) криптография: проблемы использования симметричной/асимметричной криптографии и способы их решения; инфраструктура открытых ключей

Возможно, эти принципы вам раскроют видеокурсы (Computer-based training — CBT), которые можно найти в поисковых системах по названиям их ведущих мировых, например, Pluralsight (бывшая CBT Nuggets), разработчиков, а также по названиям сертификационных статусов и кодам экзаменов. Мне же очень помогли книги Брюса Шнайдера «Прикладная криптография», "Безопасность глобальных сетевых технологий" Владимира Зимы, а также прохождение авторизованного курса Microsoft 2821 «Проектирование, пуско-наладка и обслуживание инфраструктуры открытых ключей на основе технологий Windows», обновленная версия которого до сих пор с успехом читается в ведущих учебных центрах Москвы и Киева.

Если с пониманием и применением принципов в 2003 году проблем у меня не было, то вот со справочной информацией об особенностях разнообразных закрытых и открытых технологий защиты однозначно наблюдался провал. Даже сейчас, имея более чем 10-летний опыт преподавания разнообразных ИТ-курсов, технологии вроде Kerberos, RADIUS/TACACS+ и пр., специфические названия политик и стандартов, а также характеристики американских криптографических алгоритмов требуют если не буквального заучивания, то хотя бы необходимости сконцентрироваться, перечитать литературу и освежить память перед сдачей экзамена.

Поэтому по сложившейся традиции приходится интенсивно заниматься самообучением с помощью учебных пособий для самостоятельной подготовки от ведущих мировых издательств книг по тематике ИТ/ИБ: Wiley, Sybex, Syngress, Microsoft Press и др.

По названию сертификационного статуса и словосочетаниям вроде “study guide”, например, “CompTIA Security+ exam study guide” в поисковых системах и тематических форумах, таких как www.certification.ru, можно легко найти 2-3 книги разных авторов, чтобы ознакомиться с разными подходами к подготовке. Учебники в подавляющем большинстве на английском языке, так что не забудьте подтянуть технический английский.

Практические навыки использования общедоступных средств защиты информации достаточно легко получить при наличии стенда и набора лабораторных работ, соответствующих описанию экзамена. Стенд можно собрать на дешевом оборудовании с помощью условно-бесплатных гипервизоров (Oracle Virtual Box, Microsoft Hyper-V, VMWare ESXi и пр.) в виде комплекта виртуальных машин с разнообразными ОС и бизнес-приложениями. Подробные инструкции по его созданию и сам лабораторный практикум ищите в упомянутых ранее пособиях для самостоятельной подготовки.

Также не забудьте, что каждая попытка сдачи экзамена платная (сейчас около 266$), так что стоит “натаскать” себя в платных тестирующих системах (Boson, TestOut, MeasureUp и др) с пулом вопросов уровня соответствующего экзаменационным, эмулирующих то, что происходит на реальном экзамене. В поисковых системах и тематических форумах вроде www.certcollection.org эти тестирующие системы вы всегда можете найти по кодам экзаменов.

Добившись стабильно высокого процента правильных ответов (>90%), можно надеяться на успешную сдачу экзамена с первой попытки в реальной системе тестирования Virtual University Enterprise (www.vue.com) или Prometric (www.prometric.com)

В первый раз я потратил 2 месяца, занимаясь подготовкой в свободное время (учебу в ВУЗе и работу никто не отменял), через 10 лет непрерывной работы по специальности это заняло у меня 3 недели — делайте выводы.

3. Результат


В 2003 году успешная сдача этого экзамена давала пожизненный статус Security+, теперь же он дается на 3 года и для его продления требуется регулярно подтверждать оператору CompTIA, что вы поддерживаете свою квалификацию в актуальном состоянии в рамках программы непрерывного обучения Continuous Education.

4. Перспективы


Security+ является удобной отправной точкой в карьере специалиста в ИБ и засчитывается как в инженерных сертификациях по средствам защиты информации ведущих производителей (Microsoft, RSA, IBM, Cisco и пр), так и в экспертных вендорнезависимых сертификациях от ISACA, (ISC)2, EC-Council и др.

Также, для тех кто не читал другие статьи из цикла «Сертификации CompTIA», напоминаю, что во многих американских ВУЗах в программах бакалавриата\магистратуры, а также в рамках дополнительного профессионального образования сертификации CompTIA засчитываются, позволяя сэкономить время и деньги на обучение.

5. Продолжение истории


Последующий переход на руководящую должность, попытки управления коллективом инженеров, необходимость обосновывать затраты, персональная ответственность за действия подчиненных и сроки исполнения работ заставили меня оперативно разобраться с методологией управления проектами. Но это уже история для следующей статьи, тема которой — сертификация CompTIA Project+.

Жду вопросы по обучению и сертификациям CompTIA по адресу PashkovK@muk.com.ua

Сертификации CompTIA для ИТ-специалистов. Часть 1 из 7: CompTIA A+
Сертификации CompTIA для ИТ-специалистов. Часть 7 из 7. CompTIA CTT+ (Certified Technical Trainer)

МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание
МУК
59.28
Company
Share post

Comments 0

Only users with full accounts can post comments. Log in, please.