Специалистам по информационной безопасности, как и другим ИТ-профессионалам, часто требуется подтверждение своих знаний в различных ситуациях: на собеседованиях или в борьбе за выгодный контракт. Наличие широко признаваемого сертификата может значительно упростить решение данных задач.
В мировой практике существует более десятка сертификаций для специалистов нашего профиля, каждая из которых имеет свою направленность. Самые известные из них: Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CompTIA Security+ и Offensive Security Certified Professional (OSCP).
Однако после 2022 года доступ для российских специалистов к получению этих международных сертификатов значительно затруднился. Для заполнения этого пробела был создан российский аналог CISSP и CISM — сертификация ССК (Сертифицированный специалист по кибербезопасности). Были организованы подготовительные курсы, а также сдача сертификационных экзаменов.
В данной статье приведен краткий обзор системы профессиональной сертификации Также статья станет содержанием пособия, которое обещали участникам и которое теперь начнем писать и публиковать в виде статей на Хабре.
Домены
Основным элементом любой системы профессиональной сертификации является набор доменов, на основе которых формулируются вопросы экзамена. В системе сертификации мы выбрали следующие восемь ключевых доменов:
Менеджмент информационной безопасности
Законодательство в области информационной безопасности
Безопасный доступ
Сетевая безопасность
Криптография
Обеспечение непрерывности и восстановления
Контроль и мониторинг информационной безопасности
Разработка безопасного программного обеспечения
Эти домены охватывают основные аспекты профессиональных знаний в области кибербезопасности, и их хорошее понимание позволяет специалистам решать актуальные задачи в своих организациях.
«Менеджмент информационной безопасности» является ключевым доменом, так как основная задача специалистов по кибербезопасности — защитить организацию, которая их наняла. Для этого важно не только уметь применять современные технологии информационной безопасности, но и управлять процессами информационной безопасности в организации. Ведь в конечном итоге информационная безопасность в организации зависит от каждого, кто имеет доступ к защищаемой информации.
Статьи по домену «Менеджмент информационной безопасности»:
- Основные понятия
- Оценка рисков информационной безопасности
Одной из ключевых целей информационной безопасности в организации является выполнение нормативных требований. Эти требования существуют не только для самой организации и её конкретных процессов, но и для информационных систем, используемых для поддержки этих процессов, а также для средств защиты информации.
Специалист по кибербезопасности должен хорошо ориентироваться в требованиях законодательства в области информационной безопасности, так как они служат основой для формирования внутренних документов организации по информационной безопасности и являются критериями для проведения различных проверок со стороны регулирующих органов.
Домен «Безопасный доступ» посвящен ряду важных тем, связанных с управлением доступом к данным. Основными темами домена являются различные типы моделей управления доступом, технологии аутентификации и идентификации и современные атаки на данные системы.
Другим ключевым доменом является «Сетевая безопасность». Специалист по кибербезопасности должен понимать, как функционируют сети, хорошо ориентироваться в угрозах, которые могут быть реализованы на различных уровнях семиуровневой модели ISO/OSI, а также уметь применять ключевые технологии сетевой безопасности: IDS/IPS, межсетевое экранирование и т.п.
Домен «Криптография» посвящён криптографической защите информации при ее хранении и передаче. Домен включает в себя темы, посвященные алгоритмам шифрования с секретным/открытым ключом, хеш-функциям, протоколам безопасности. В ходе подготовительных курсов по этому домену рассматриваются как российские, так и зарубежные стандарты.
Обеспечение доступности информационных систем и данных является ключевой задачей обеспечения информационной безопасности. Поэтому в системе сертификации специалиста по кибербезопасности нельзя не включить домен, посвященный обеспечению непрерывности бизнеса и восстановлению организации после разрушений, бедствий, критических ситуаций или аварий. Хорошее знание этого домена позволит подготовить организацию к оперативному реагированию на различные негативные события, а также обеспечить ее непрерывное функционирование.
Специалист по кибербезопасности должен быть максимально компетентен в таких аспектах, как выявление киберугроз, попыток вторжения злоумышленников, а также реагирования на инциденты информационной безопасности. Именно этим вопросам посвящен домен «Контроль и мониторинг информационной безопасности».
Уязвимое программное обеспечение представляет значительный риск для безопасности любой организации. Чтобы минимизировать уязвимости, компании-производители программного обеспечения внедряют процессы безопасной разработки, предусматривающие различные меры на всех стадиях цикла создания программного обеспечения. В этом контексте мы добавили отдельный домен, посвящённый разработке безопасного программного обеспечения. В ходе подготовительных курсов мы подробно рассматриваем положения ГОСТ Р 56939, активное участие в создании которого принимали участие эксперты нашей испытательной лаборатории.
Форматы экзаменов
Система сертификации предусматривает два вида экзаменов: экзамен на статус кандидата и на статус специалиста. Первый экзамен проводится в онлайн формате и является бесплатным, что позволяет попробовать свои силы неограниченному кругу российских специалистов. Второй экзамен доступен пока только в оффлайн формате, в рамках которого не допускается возможность списывания. Длительность кандитатского экзамена 2 часа, в ходе которых нужно ответить на 100 вопросов, а экзамена на статус специалиста - 4 часа, и количество вопросов уже - 200. Проходной балл - 70% правильных ответов.
Каждый вопрос содержит четыре варианта ответа и испытуемому необходимо выбрать наилучший.
Пример вопроса:
Каким фактором аутентификации является распознавание голоса?
a) То, что вы знаете
b) То, что у вас есть
c) То, кем вы являетесь
d) То, где вы находитесь
Заключение
На наш взгляд созданная система сертификации упростит состоявшимся специалистам подтверждение знаний и опыта, а начинающим специалистам позволит структурировать свои знания и определить приоритетные направления личного развития в такой интересной специализации как «кибербезопасность».
Ссылки
Записи первого онлайн-курса по подготовке к сдаче ССК: https://www.youtube.com/playlist?list=PLAs36PQnfDQ0-U7iGV2Z6_1v-s9RXktHc и https://rutube.ru/plst/429175/
Канал в телеграм с примерными вопросами: https://t.me/sskquestions
