1. Требования по подготовке специалистов
Подготовка специалистов по информационной, а позднее кибербезопасности во все времена и во всех юрисдикциях была дорогим и хлопотным делом. Причин тому несколько. Одна из них — это естественное выбытие младшего персонала. Полные амбиций молодые специалисты после 1–2 лет успешной работы принимают решение о смене работы, руководствуясь желанием расширить круг обязанностей в обмен на большую зарплату в другой компании. Другая причина — это кардинальная смена компьютерных технологий обработки ценной информации. Так было при переходе от мейнфреймов к персональным компьютерам, потом к локальным сетям, затем к глобальным сетям с централизованной обработкой данных в базах данных, с повсеместным распространением Интернет и веб‑технологии. И каждый раз для обучения разрабатывались новые методические материалы, в учебных заведениях формировались стенды, обучались преподаватели. Поэтому во всем мире и, например, в США, озаботились оптимизацией затрат на переподготовку ИТ специалистов, для чего в 2000-х годах разработали методологию непрерывного переобучения инженеров‑программистов, системных и сетевых администраторов, менеджеров‑архитекторов и управленцев среднего и высокого уровня в сотрудников кибербезопасности.
Так, показательным является обучение младшего и среднего командно��о состава армии США разным аспектам обеспечения информационной и кибербезопасности (далее ИКБ) в рамках исполнения директивы Министерства Обороны США 8140.01 (ранее 8570.01-M). В соответствии с этой директивой, в зависимости от выполняемых функций, как гражданские, так и военные служащие обязаны регулярно подтверждать свою квалификацию в области ИКБ своевременным получением и поддержкой международно‑признаваемых профессиональных сертификаций от ведущих американских ассоциаций, таких как CompTIA, ISACA и ISC2 (рис. 1).
На рисунке 1 приведены утвержденные виды сертификации технических специалистов информационного обеспечения (IAT — Information Assurance Technical), управленцев информационного обеспечения (IAM — Information Assurance Management), архитекторов и проектировщиков систем защиты информационного обеспечения (IASAE — Information Assurance System Architects and Engineers), сотрудников служб Поставщика услуг киберзащиты (CSSP — Cyber Security Service Provider).
Уровни подготовки приведены по возрастанию сложности от Level I — минимального первого до Level III — максимального, третьего.
Следует отметить, что к преподавателям курсов подготовки к данным сертификациям также предъявляются требования как наличия соответствующих сертификатов, например, CASP от CompTIA, так и подтверждения владения методикой обучения взрослых от крупнейших в США ассоциаций в области профессионального образования — Information Technology Training Association (ITTA) и Computer Education Management Association (CedMA).
Этот подход позволил, во‑первых, не готовить с нуля гражданских специалистов при призыв�� на службу, а в короткие сроки переподготовить мотивированных сисадминов, программистов, аналитиков и менеджеров без отрыва от производства в специалистов по кибербезопасности. При этом стоимость подготовки снижена до минимального для заказчика значения.
Во‑вторых, такой подход за счет унификации требований к выполняемым на рабочих местах в SOC функциям для гражданских и военных специалистов в мирное время дает возможность готовить в гражданских учебных организациях такие кадры, которые смогут без переобучения продолжить работу в условиях кризиса.
В‑третьих, оборудование и программные средства, развернутые в частных гражданских организациях, могут быть использованы в интересах государства без необходимости крупных капитальных вложений.
И наконец, военные специалисты после окончания кризиса могут вернуться к гражданской жизни практически сразу, без длительного периода адаптации.
Этот подход может быть полезен в настоящее время.
2. История
CASP в номенклатуре ассоциации CompTIA является одной из двух профессиональных сертификаций для руководителей (второй является Project+ для менеджеров ИТ‑проектов), и позиционируется как топовая сертификация в треке кибербезопасности, завершающая серию Security+ (основы), Pentest+ (тестирование на проникновение) и CySA+ (аналитика). Целевая аудитория CASP — это архитекторы, в чьем подчинении находятся инженеры‑конструкторы систем защиты, лидеры команд реагирования на компьютерные инциденты, а также руководители SOC (Security Operations Center), чья работа требует:
понимания методологии проектирования автоматизированных систем в защищенном исполнении;
особенностей реализации модели жизненного цикла управления инцидентами;
а также опыта организации активной охоты за угрозами, управления уязвимостями и регулярной доработки комплекса мер защиты.
В отличии от сравнимых вендорнезависимых сертификаций вроде CISSP и CISM, требующих не только сдачи экзамена, но и подтверждения релевантного многолетнего опыта работы, CASP предполагает только сдачу экзамена в контролируемой среде авторизованного центра тестирование PearsonVUE. Также с начала Пандемии доступен удаленный контролируемый (Online Proctored) формат сдачи.
3. Стоимость
Минимальная стоимость сертификации равна стоимости сдачи экзамена. Иначе говоря, к экзамену допускают практически с улицы, не требуя прохождения авторизованного обучения или наличия других сертификаций.
Для соискателя попытка сдачи экзамена стоит 494 долларов США, но уже простейший поиск в Google позволяет легко найти код для 10% скидки на покупку ваучера для сдачи экзамена в онлайн‑магазине CompTIA — далее вы просто тратите этот ваучер при заказе экзамена на портале провайдера услуг тестирования VUE.
4. Продолжительность и формат
Экзамен длится 165 минут и включает в себя до 90 вопросов. Актуальная на момент написания данной статьи, четвертая версия экзамена с кодом CAS-004 включает в себя около 10 вопросов в формате Performance‑based, предполагающем эмуляцию графического или интерфейса командной строки механизма защиты в широко распространенной ОС, браузере или сетевом оборудовании (вроде маршрутизатора Cisco) и заданием решить специфическую проблему. Также возможны вопросы в формате структурной схемы сети и задачей разработать дизайн защиты ее периметра в соответствии с требованиями сценария. Остальные вопросы представлены в формате Multiple‑choice в котором нужно выбрать все правильные ответы.
5. Домены
Экзамен CAS-004 проверяет знания и навыки кандидатов в 4 доменах: по архитектуре безопасности, ежедневной рутине SOC, инженерии безопасности и криптографии, а также управления рисками и соответствию требованиям законов\регуляторов с акцентом на технические меры защиты.
Домен Security Architecture детально рассматривает технические контроли в части защиты сетей и систем хранения данных, оконечных устройств и бизнес‑приложений, технологий виртуализации и облака, контроля доступа, криптографии и инфраструктуры открытых ключей, а также ряда перспективных технологий обеспечения корпоративной безопасности и защиты персональных данных.
Домен Security Operations акцентирует вниман��е на деталях реализации процессов, составляющих ежедневную рутину SOC, включая охоту за угрозами (Threat Hunting), тестирование на проникновение (Penetration Testing), реагирование на инциденты (Incident Response), оценка и управление уязвимостями (Vulnerability Assessment and Management), компьютерная криминалистика (Computer Forensics), а также результирующая доработка комплекса мер по обеспечению безопасности.
Домен Security Engineering and Cryptography раскрывает методологию проектирования информационных систем в защищенном исполнении с использованием контролей домена Security Operations.
Домен Governanace Risk and Compliance рассматривает правовые и организационные особенности интеграции мер защиты в единый комплекс, а также применение этого комплекса на разных этапах модели жизненного цикла автоматизированных‑информационных систем. Кроме этого, серьезное внимание уделяется соотнесению мер ИКБ с мерами по управлению непрерывностью бизнеса.
6. Методика подготовки
При наличии знаний и навыков в объеме Security+, Pentest+ и CySA+, релевантного опыта работы и достаточной самодисциплины самостоятельная подготовка к сертификации CASP с помощью самоучителя рекомендованного на сайте оператора сертификации позволяет выполнить выйти на сдачу экзамена в течение 2–3 месяцев.
Под руководством опытного наставника в рамках прохождения интенсивного обучения на авторизованном CompTIA курсе этот срок можно сократить до 1 месяца. Это достигается за счет использования интерактивного учебного пособия, разработанного именитыми авторами, а также годовой подпиской на лабораторный стенд с тремя десятками лабораторных работ, использующих свободно‑распространяемые с открытым кодом инструменты. Такой подход позволяет удовлетворить проявившийся взрывной рост вакансий на рынке труда ЕС, СНГ и стран Ближнего Востока с требованиями наличия CASP.
7. Результат
После сдачи экзамена вы становитесь обладателем искомой сертификации на 3-летний период с обязательством жить и работать в соответствии с кодексом этики CompTIA и платить ежегодный членский взнос в размере 50 долларов США на поддержание сертификации. Также при желании продлить срок действия сертификации на следующий 3-летний период необходимо будет отчитаться о 75 астрономических часах, потраченных на свое развитие в профессии в рамках концепции непрерывного обучения (Continuous Education). С сертификатом и легким сердцем можете приступать к поиску работы своей мечты или просить руководителя перевести вас на более ответственный участок работы с большей зарплатой — ведь вы этого достойны! Кроме этого, вы получаете специальность на все случаи жизни, что бы ни случилось в мире.
8. Перспективы
Вендорнезависимые профессиональные сертификации по кибербезопасности CompTIA не привязаны к технологиям конкретных вендоров, и позволяют решить большинство задач по обеспечению безопасности даже с помощью свободно‑распространяемого инструментария с открытым исходным кодом, что отражает потребности в быстрой подготовке специалистов разной направленности для вновь разворачиваемых SOC на объектах критической инфраструктуры.
Жду вопросы по обучению и сертификациям CompTIA по адресу yury@startrainer.kz
