XCA – удостоверяющий центр уровня предприятия или сага о русских и немецких программистах / Хабр

Итак, вы решили стать cissp

Certified Information Systems Security Professional – это вендор-независимая сертификация по информационной безопасности от организации под названием International Information Systems Security Certifications Consortium (ISC)². Это некоммерческая международная организация по тестированию и сертификации специалистов в области информационной безопасности.

Эта сертификация появилась в далеком 1991 году и предназначена для консультантов, архитекторов и аналитиков в сфере информационной безопасности.

CISSP, как можно догадаться, относят к числу высших сертификаций в области ИБ.Кроме этого, кстати, есть еще CISA (аудитор информационных систем) и CISM (менеджер в области ИБ), но сейчас речь не о них.

Итак, решение принято, начинаем искать материалы для подготовки и обнаруживаем несколько источников:Во-первых, официальное руководство «CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide», James M. Stewart, Mike Chapple, Darril Gibson:

Я пользовался именно этой книгой. Дополнительно к этому есть приложение для Android/iOS с практическим экзаменом. Это не дампы, но они позволяют оценить и почувствовать логику вопросов.

Во-вторых, «CISSP All-in-One Exam Guide», Shon Harris:

Это неофициальное руководство, но чуть более объемное, и, субъективно, более тяжелое для прочтения.

В-третьих, есть небольшая книжка «Eleventh Hour CISSP: Study Guide», Eric Conrad, Joshua Feldman, Seth Misenar:

Это чуть более 200 страниц, которые очень неплохо бы прочесть непосредственно перед экзаменом, чтобы освежить в памяти прочитанное.

А кроме этого есть бесконечные майндкарты, конспекты, слайды от сдающих и сдавших.

Основное, что может вынести из этих книг опытный специалист – это подтянуть термины. Чем отличается Preventive от Deterrent? Что такое ALE? Как оно связано с ARO и EF? Какая разница между due care и due diligence? Подобные вопросы должны отпасть в процессе чтения.

Тут самое время напомнить, что все книги, само собой, на английском языке и вообще экзамен подразумевает, что вы имеете 5 лет оплачиваемого опыта в сфере ИБ в двух или более доменах (о них ниже). Вряд ли Вы, имя такой опыт, не сможете осилить 1000 страниц на английском языке.

Эти пять лет, кстати, можно сократить на 1 год, если у вас есть профильное образование в сфере ИБ, или какой-нибудь релевантный сертификат (да хотя бы те же CompTIA Security или MCSE. У меня есть оба, но сокращают срок всё равно только на 1 год).

Теперь о доменах. Все вопросы разбиты на восемь доменов, т.е. областей:

1. Security and Risk Management (Управление рисками информационной безопасности)В этом модуле рассматриваются основные теоретические основы ИБ: модели информационной безопасности, Биба/Кларк-Уилсон или Белл-ЛаПадула, “Триада ИБ”, анализ и управление рисками, подходы к управлению ИБ. Затрагиваются вопросы профессиональной этики и законодательства.

2. Asset Security (Безопасность активов)В этом домене речь идет об активах, а если ставить вопрос еще уже – о данных. Основные темы: управление данными, классификация, владельцы данных, роли, управление доступом, хранение и уничтожение данных.

3. Security Architecture and Engineering (Инженерная и архитектурная безопасность)Это, судя по всему, самый широкий домен в плане тем, потому что здесь и физическая безопасность (сигнализации, шлагбаумы, пожаротушение и т.п.), и криптография, и конкретные технические решения, а даже архитектурные особенности различных моделей доступа и их реализация.

4. Communication and Network Security (Связь и сетевая безопасность)Наверное, самый практический и понятный домен, где придется вспомнить про SSL, TLS, HMAC, S-RPC, EAP и т.п. Если данные передаются по сетям – об этом есть вопрос в указанном домене.

5. Identity and Access Management (Управление идентификацией и доступом)Здесь все вопросы про пользователей системы и их учетные данные. Вспоминаем, чем авторизация отличается от аутентификации и все они вместе от идентификации. Затем разбираемся, как выглядит цикл управления учетными записями, и чем нам может помочь двухфакторная аутентификация.

6. Security Assessment and Testing (Оценка безопасности и тестирование)В этом домене разбираются практические вопросы тестирования безопасности. Зачем нужны сканеры безопасности? Кто такой OWASP? Чем грозит пентест без санкции владельца информации?

7. Security Operations (Операции по обеспечению безопасности)Это самый скучный из всех доменов, где разбираются практические аспекты ежедневной рутины отдела ИБ – расследование инцидентов, обработка заявок, маркировка носителей, разделение обязанностей и полномочий, управление изменениями и т.п.

8. Software Development Security (Безопасность разработки программного обеспечения)Домен выглядит несколько чужеродно, потому что рассматривает всякие вещи вроде SDLC, PERT, Agile и прочих моделей разработки ПО. Но на самом деле, CISSP должен обладать компетенцией во всех аспектах ИБ, поэтому потребуется вникнуть даже в это. Каких-то конкретных навыков программирования тут не требуется, но кто знает, чем однажды придется заниматься.

В какой-то степени мне повезло – я действительно интересуюсь своей профессией, и большинство тем не вызвало каких-либо дополнительных вопросов, кроме, пожалуй, последнего домена. В нем нет ничего сложно, просто я не сталкивался с этим на практике.

Что общего между сертификатом x509 и паспортом гражданина?что общего между паспортным столом и удостоверяющим центром?

Главная функция УЦ центра – изготовление и сопровождение сертификатов ключей проверки электронной подписи (СКПЭП), включая создание ключевой пары по обращению владельца сертификата. Сразу оговорюсь, по моему глубокому убеждению, последняя услуга УЦ центра вредна и опасна.

Тот, кто получил сертификат и ключевую пару (закрытый и публичный ключ или как его еще называют ключ проверки электронной подписи), в любой момент может отказаться от своей электронной подписи (ЭП) под документом и заявить, что у него ключ могли украсть в УЦ в момент его генерации.

Отметим, что УЦ выпускают сертификаты в соответствии со стандартом X.509 v.3 (RFC 5280 ).
Вообще функции УЦ во многом совпадают с функциями паспортного стола, которые находятся в ведении МВД России.
Сертификат, также как и паспорт, выдается на основании заявления и предоставления ряда документов. Перечень документов для получения сертификата есть на любом удостоверяющем центре, имеющим аккредитацию Минкомсвязи.

А что является главным в сертификате? У него также есть серийный номер, кем выдан, сведения о гражданине, включая и СНИЛС и ИНН, и аналог фотографии и собственноручной подписи гражданина – это публичный ключ или ключ проверки электронной подписи. И вот это все заверяется электронной подписью УЦ. И полученный документ (файл) и называется сертификатом. Вы спросите, а где же закрытый ключ, с помощью которого собственно и ставится электронная подпись под документами? А закрытый ключ, как мы говорили выше, должен храниться у гражданина на электронном носителе (флэшка, токен/смарткарта), аналогично тому, как умением ставить личную подпись, образец которой он и оставил в своем паспорте, владеет он и только он. Поэтому всегда можно абсолютно уверенно сказать действительная подпись гражданина под документом или нет. Как ни странно аналогичная ситуация и с электронной подписью. Имея закрытый ключ, гражданин может однозначно получить открытый ключ и по нему проверить его сертификатом подписан документ или нет!
список недействительных российских паспортов. С этого момента любые юридические действия со ссылкой на утраченный паспорт недействительные. Аналогичная ситуация и с отзывом сертификата. Если был утерян закрытый ключ (а он как правило хранится на отторгаемом носителе – флэшка, токен, смарткарта и т.п) или есть подозрение, что его скопировали, то надо срочно обращаться на УЦ, чтобы сертификат отозвали (признали недействительным). Он в этом случае попадает в САС – список аннулированных сертификатов. Хочу обратить внимание, что сертификат отзывается не тогда, когда пропал сертификат, а именно закрытый ключ. Сам сертификат вещь публичная и дубликат его всегда можно подучить на УЦ.

Функционал xca

И вот исходя из этих предпосылок и родился проект с открытым кодом (

, в котором для криптографических преобразований используется библиотека OpenSSL, для графического интерфейса используется библиотека Qt, а в качестве языка программирования язык C . Для проектирования графического интерфейса использован Qt Designer (утилита designer), что делает весьма простым доработку графического интерфейса с учетом специфических требований российского законодательства и нормативных актов регуляторов, например, форму графического интерфейса для нового сертификата (файл ~/src/ui/NewX509.ui):

Для хранения объектов УЦ в XCA создается база данных, доступ к которой защищен паролем.
Графический итерфейс XCA как удостоверяющего центра реализован в виде пяти функциональных вкладок и двух выпадающих меню:
— функции управления базой данных, предназначенной для хранения информации о ключах, сертификатов и других объектов XCA; — функции создания и управления ключами; — функции управления запросами на сертификаты (PKCS#10); — функции управления сертификатами x509 v3; — функции управления шаблонами для запрсов; — функции управления списками аннулированных сертификатов (САС/CRL); — функции управления токенами/смарткартами PKCS#11;

Можно смело утверждать, что графическое приложение XCA является Центром выдачи и управления Сертификатами (далее ЦС XCA).

О поддержке российских криптоалгоритмов в xca

Теперь нас будет интересует поддержка российских криптоалгоритмов в ЦС XCA. И если бы это происходило до 2021 года, все было бы хорошо: к тому времени в проекте OpenSSL уже появилась поддержка и ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94 и ГОСТ 28147-89. Но в 2021 году были утверждены новые криптографические алгоритмы ГОСТ Р 34.

К сожалению, в настоящее время OpenSSL не поддерживает новые российские алгоритмы. В этом случае имеется два пути решения проблемы. Первый связан с разработкой

нового engine

, на подобие имеющегося libgost, с поддержкой новых российских алгоритмов. Второй путь – это непосредственное встраивание российских алгоритмов в OpenSSL. Второй путь представляется более предпочтительным, так как и в первом случае необойтись без модернизации OpenSSL, хотя с точки зрения реализации новых требований ТК-26 хотя бы к контейнеру PKCS#12.

#define SN_cryptopro            "cryptopro"
#define NID_cryptopro           805
#define OBJ_cryptopro           OBJ_member_body,643L,2L,2L
#define SN_cryptocom            "cryptocom"
#define NID_cryptocom           806
#define OBJ_cryptocom           OBJ_member_body,643L,2L,9L
#define SN_id_tc26              "id-tc26"
#define NID_id_tc26             958
#define OBJ_id_tc26             OBJ_member_body,643L,7L,1L
	…

Для удобства встраивания ГОСТ-алгоритмов в XCA и идентичности с OpenSSL отметим также введенные константы, определяющие тип ключа для ГОСТ:

#define EVP_PKEY_GOST3410			NID_id_GostR3410_2001
#define EVP_PKEY_GOST3410_2021_256	NID_id_GostR3410_2021_256
#define EVP_PKEY_GOST3410_2021_512	NID_id_GostR3410_2021_512

Вот как теперь могла бы выглядеть структура struct typelist typelist[] в файле NewKey.cpp:

static const struct typelist typeList[] = {
	{ "RSA", EVP_PKEY_RSA },
	{ "DSA", EVP_PKEY_DSA },
#ifndef OPENSSL_NO_EC
	{ "EC",  EVP_PKEY_EC  },
#endif
/*ГОСТ Р 34.10-2001 */
	{ "GOSTR3410-2001", EVP_PKEY_GOST3410},
/*ГОСТ Р 34.10-2021 с длиной ключа 256 бит*/
	{ "GOSTR3410-2021-256", EVP_PKEY_GOST3410_2021_256},
/*ГОСТ Р 34.10-2021 с длиной ключа 512 бит*/
	{ "GOSTR3410-2021-512", EVP_PKEY_GOST3410_2021_512},
};

И вот такая доработка OpenSSL и позволяет встроить российские криптографические алгоритмы в ЦС «XCA». Теперь ЦС «XCA» может выполнять все функции УЦ, начиная с генерации любых ГОСТ-ых ключей:

выпуском сертификатов и кончая выпуском списков аннулированных сертификатов(CRL/САС):

Выше мы говорили, что приватный ключ и сертификат сотрудники предприятия должны получать на отторгаемом носителе. В качестве такого носителя в ЦС «XCA» используются токены/смаркарты (token/smartcard), имеющие интерфейс PKCS#11. Если говорить о поддержке российской криптографии, то необходима доработка проекта для поддержки токенов PKCS#11 с соответствии с рекомендациями ТК-26 (pkcs11_gost.h):

	…
#define NSSCK_VENDOR_PKCS11_RU_TEAM 0xd4321000 //0x80000000|0x54321000
#define NSSCK_VENDOR_PKSC11_RU_TEAM NSSCK_VENDOR_PKCS11_RU_TEAM
#define CK_VENDOR_PKCS11_RU_TEAM_TC26 NSSCK_VENDOR_PKCS11_RU_TEAM
	…

Мнения специалистов «лаборатории качества».

Анжелика Притула (сертификация ISTQB CTAL-TA), ведущий специалист по тестированию компании «Лаборатория качества»:

– Что тебя мотивировало на получение этого сертификата?

– Это необходимое требование за границей, чтобы устроиться в серьезную компанию тестировщиком. Я тогда жила в Новой Зеландии, меня взяли на работу в организацию, которая выпускает систему контроля анестезии для операционных комнат. Система утверждена правительством НЗ, поэтому было обязательное требование, чтобы тестировщик был сертифицирован. Компания оплатила сдачу моих обоих сертификатов. От меня требовалось только подготовиться и сдать.

– Как ты готовилась?

– Скачала бесплатные учебники с официального сайта и по ним подготовилась. К первому общему экзамену готовилась 3 дня, ко второму продвинутому – 2 недели.

Тут надо сказать, что мой опыт подойдет не всем, т.к. по образованию я разработчик. И к тому моменту я 2 года занималась разработкой ПО, прежде чем уйти в тестирование. К тому же у меня английский практически на уровне носителя языка, поэтому для меня не было проблемой готовиться и сдавать экзамены на английском.

– Какие преимущества и недостатки лично ты видишь в сертификации ISTQB?

– Преимущества неоспоримы, этот сертификат требовали везде при устройстве на работу. А наличие продвинутого сертификата в тест-анализе потом стало пропуском для работы в министерстве экономики НЗ и далее – в дочерней компании Майкрософта.

Недостатки тут – только высокая цена. Если сертификат не оплачивается компанией, то стоимость ощутимая. Когда я сдавала, обычный стоил 300 долларов, а продвинутый – 450.

Артем Михалев, аккаунт-менеджер «Лаборатории качества»:

– Твое мнение и отношение к сертификации ISTQB?

– По моему опыту этот сертификат в России получают в основном сотрудники компаний, участвующих в тендерах. Что касается проверки уровня знаний в ходе сертификации, считаю, что это хорошая подготовка.

– О тендерах расскажи, пожалуйста, более подробно.

– Как правило, для участия в тендерах необходимо какое-то количество сертифицированных сотрудников в компании. В каждом тендере свои условия, и, чтобы в нем участвовать, нужно подходить под критерии.

Юлия Миронова, сотренер курса Натальи Руколь «Комплексная система подготовки тестировщиков по программе ISTQB FL», обладатель сертификата ISTQB FL:

– Какие источники ты использовала при подготовке к экзамену?

– Готовилась по дампам экзаменов и с помощью комплексной системы подготовки (КСП) к ISTQB от Натальи Руколь.

– Какие преимущества и недостатки лично ты видишь в сертификации ISTQB FL?

– Основной плюс: человеку хватило терпения изучить и сдать теорию – значит, он стремится к обучению, сможет освоиться на новых проектах и задачах.

Главный недостаток – это устаревшая программа курса (2021 г.). Многие термины уже не используются в практике.

На экзамене

В назначенный день приезжаем в тестовый центр, проходим формальности и садимся за компьютер. Тест состоит из 250 вопросов по всем доменам. На него дается 6 часов, перерывов нет. Причем, практически нет вопросов на знание какие-то понятий, фактов или определений.

В основном вопросы направлены на проверку знания лучших практик, методологий и стандартов. Т.е. у вопроса могут быть все ответы логически правильные, но только один отвечает стандарту. Например, если среди ответов есть что-нибудь про “обеспечить физическую безопасность людей”, то этот ответ всегда правильный.

Я управился где-то за 3,5 часа, и это весьма неплохо, потому что после двух часов напряженной работы внимание потихоньку рассеивается, логика перестает работать. Зато включается здравый смысл и опыт, которые и позволяют отсеивать заведомо ложные ответы, а из оставшихся выбирать наиболее точный.

Итак, добираемся до последнего вопроса, нажимаем “Finish” и наконец … ничего, собственно, не происходит. Нужно подойти к Администратору тестового центра, который и выдаст распечатку с поздравлением. Либо с оповещением, что экзамен не сдан, и придется по новой платить $699 за очередную попытку. При этом, если экзамен не сдан, в распечатке будет указано, сколько баллов набрано и сколько не хватило.

Я сдал с первого раза, притом, что на подготовку ушло около трёх месяцев. Я читал бесконечные истории, о том, как люди сдавали этот экзамен по 3-4 раза, и морально готовился к такому же сценарию. Однако всё оказалось проще, видимо не зря в требованиях указан реальный опыт работы.

Моё разочарование “сложностью” этого экзамена разделили несколько зарубежных коллег. Причем, каждый по своей причине: кого-то расстроила простота экзамена (столько времени потратили на знакомство с международным законодательством, GDPR и поправками к конституции США, а на эту тему было только 3 вопроса), а кого-то оторванность от реальной жизни (ни одной лабораторной работы!).

Но так и суть экзамена не в этом. Он и задуман быть “милей в ширину, но дюймом в глубину”. Кандидат должен показать свой широкий кругозор в теме, а также понимать какие бизнес-процессы стоят за галочками в настройках Active Directory, и какие политики реализуют таблицы маршрутизации. CISSP должен полюбить процессный подход и начать уже мыслить как менеджер в хорошем смысле этого слова.

Scrum alliance

Scrum Alliance. Компания была основана в 2002 году авторами «The Scrum guide» Джеффом Сазерлендом и Кеном Швабером. Сертификат от Scrum Alliance один из двух самых известных в мире сертифицирующих организаций по Scrum. О второй позже.

В Scrum Alliance есть три трека для сертификации по ролям: Scrum master, Product owner, Developer. У всех трёх ролей есть три ступени — Certified, Advanced и Professional.

Также Scrum Alliance предлагает еще 4 дополнительных трека — Agile Leadership, Team Coach, Enterprise Coach и Trainer.

Сертификат

 Чтобы допуститься к экзамену, необходимо обязательно пройти аккредитованные курсы.

Курс длится 2 дня. После прохождения обучения у вас будет несколько попыток сдать экзамен на официальном сайте Scrum Alliance.

Проверить сертификат на действительность можно по ссылке.

Экзамен состоит из 50 вопросов, на решение которых будет отведён 1 час. Критерий прохождения – 37 правильных ответов.

После прохождения обучения вам будет доступно несколько бесплатных попыток для сдачи экзамена. Экзамен доступен на официальном сайте scrum alliance и только на английском языке.

Стоимость обучения составляет порядка 65 тысяч рублей за 1 ступень, включая взнос за экзамен и 2 попытки, далее $25 за каждую попытку.

Для получения следующей ступени сертификации необходимо обязательное наличие предыдущей.

Сертификацию нужно продлевать каждые 2 года. Для продления необходимо набрать достаточное количество баллов SEUs на аккредитованных курсах плюс заплатить взнос. К примеру, для продления самой популярной сертификации Product owner и Scrum Master потребуется 30 часов курсов и оплата взноса в размере 175 долларов.

Подробная информация о продлении по ссылке.

 Из плюсов:

 Из минусов:

С точки зрения компании сертификация – это:

1. Дополнительное конкурентное преимущество на рынке:

компании с штатом сертифицированных экспертов на порядок реже предоставляют некачественные консалтинговые и QA-услуги, что положительно сказывается на репутации и потоке новых заказов.

2. Бонус при участии в крупных тендерах: наличие сертифицированных специалистов дает преимущество компаниям при участии в конкурсном отборе применительно к тендерам.

3. Снижение рисков: наличие сертификата говорит о том, что специалисты владеют методологией тестирования, а это снижает риски проведения некачественного тест-анализа и может повысить скорость тестирования за счет оптимизации числа тестовых сценариев.

4. Преимущества на международном рынке при оказании услуг по тестированию ПО, предназначенного для иностранных клиентов и иностранного ПО.

5. Рост компетенций внутри компании за счет наставничества и обучения несертифицированных специалистов признанным международным стандартам в области тестирования.

Для компаний есть еще несколько интересных бонусов и направлений, предлагаемых ISTQB:

1. ISTQB International Software Testing Excellence Award

Международная премия в области тестирования программного обеспечения за выдающиеся многолетние заслуги в области качества программного обеспечения, инновации, исследования и продвижение профессии тестирования программного обеспечения.

Лауреаты премий – эксперты в области тестирования и разработки, авторы исследований, новых подходов в тестировании.

2. Партнерская программа (Partner Program) ISTQB

Программа признает организации с продемонстрированной приверженностью тестирования программного обеспечения сертификации. Программа включает четыре уровня партнерства (Серебряный, Золотой, Платиновый и Глобальный), а уровень партнерства организации определяется по количеству набранных ею сертификационных баллов (Eligibility Grid).

Предпосылки появления xca (x window system certification authority)

Для выпуска для издания сертификатов x509v.3 можно было бы воспользоваться широко используемой командной утилитой

OpenSSL

, в частности, она позволяет выполнять следующие функции:

Если внимательно посмотреть, то оказывается, что все это функции УЦ, более того одна из команд утилиты OpenSSL, а именно команда CA представляет собой УЦ с минимально-необходимой функциональностью:

$openssl ca -md <hash> -in <req_file> -out <cert_file>

где:

• ca – команда, для работы с УЦ
• md — опция, указывающая на то какую хэш-функцию (например, sha1, sha512, gosthash ) использовать для выдачи сертификата ключа проверки электронной подписи (ЭП)
• in — опция, указывающая на то, что запрос на сертификат ключа проверки ЭП надо взять из файла <req_file>
• out — опция, указывающая на то, что сгенерированный сертификат ключа проверки ЭП надо записать в файл <cert_file>

Недостатки использования командной утилиты OpenSSL очевидны:

Именно последний пункт отличает в лучшее сторону аналогичный по сути проекту

OpenSSL

проект NSS (Network Security System), который широко используется для работы с сертификатами в проектах от Mozilla, браузерах Chrome от Google и т.д. А если говорить еще и об удобстве работы, то хотелось бы иметь единый графический интерфейс на базе X Windows System для издания и управления сертификатами (Certification authority).

— оконная система, обеспечивающая стандартные инструменты и протоколы для построения графического интерфейса пользователя.

Предложение/спрос

Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже

и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:

Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

Выводы

Сертификация может являться обязательным требованием для отдельных компаний или на госпроектах. Принимая решение о необходимости получения сертификата ISTQB, стоит ориентироваться на следующие реалии:

1. При выборе кандидата на должность специалиста по тестированию определяющими будут опыт и знания, а не наличие сертификата. Хотя при наличии схожих навыков предпочтение отдадут сертифицированному специалисту.
2. Сертификация помогает в развитии карьеры (для 90% менеджеров важно иметь в команде 50-100% сертифицированных тестировщиков), кроме того, в некоторых зарубежных компаниях получение сертификата является поводом для повышения зарплаты.
3. Сертификация помогает повысить вашу уверенность в собственных силах. Это также помогает вам развить способность думать о вещах под разными углами, вы растете как специалист.

В первой части нашей статьи

мы постарались ответить на вопрос: “Так ли нужен сертификат ISTQB”; а если нужен, то кому, какой и зачем. Надеемся, что статья была вам полезна. Напишите в комментариях — открылись ли вам какие-то новые горизонты после получения сертификата или, по вашему, ISTQB очередная бесполезная бумажка.

Во второй части статьи QA-инженеры “Лаборатории качества” Анна Палей и Павла Толоконина на личном примере расскажут о том, как они готовились, регистрировались, проходили тестирование и получали сертификаты ISTQB в условиях России и за рубежом. Подписывайтесь и следите за новыми публикациями.

Анна Палей,Тест-менеджер компании «Лаборатория Качества».

Какие особенности:

1. Включение в список организаций-партнеров на сайте ISTQB.
2. Упоминание организации на веб-сайтах Национального совета членов ISTQB или поставщика экзамена.
3. Привилегии в отношении мероприятий и конференций, связанных с ISTQB.
4. Право на получение бета-версии новой программы ISTQB Syllabi с возможностью внести 5. свой вклад в подготовку.
5. Почетное членство в эксклюзивном «Форуме партнеров ISTQB».
6. Взаимное признание ISEB и ISTQB сертификации.

3. Вы, как организатор события в области QA, можете подать заявку на участие в ISTQB Conference Network

В свою очередь ISTQB размещает информацию о конференции на официальном веб-сайте, а организаторы мероприятий, участвующие в Conference Network, предоставляют скидку:

4. Публикация исследований в области тестирования в Академическом исследовательском сборнике «ISTQВ Academic Research Compendium»5. Сборник примеров передовой практики в области тестирования из разных стран мира. ISTQB Academia Dossier

Представляет собой сборник примеров и практик компаний и институтов разных стран в сотрудничестве с ISTQB. Например, разработка нового направления с учетом тенденций развития тестирования в стране (Канада), развитие сертификации ISTQB среди студентов (Чехия).

С точки зрения qa-специалиста сертификация – это:

1.

Прежде всего

подтверждение квалификации и профпригодности

международными экспертами в области тестирования, а это, в свою очередь, открывает доступ к новым рынкам труда. На международном уровне сертификат признается в 126 странах мира – рай для удаленной работы или предпосылка к переезду.

2. Повышение конкурентоспособности на рынке труда: хотя большинство работодателей и не требует сертификат ISTQB у соискателей, порядка 55% тест-менеджеров отмечают, что хотели бы иметь 100%-й штат сертифицированных специалистов (исследование ISTQB_Effectiveness_Survey_2021-17).

3. Уверенность в завтрашнем дне. Сертификат не гарантирует топовую зарплату при трудоустройстве или автоматическое продвижение по работе, зато является своеобразной «несгораемой суммой», ниже которой ваш труд не оценят.

4. Расширение и систематизация знаний в области QA. Сертификация – отличный способ для QA-специалиста нарастить и обогатить знания по тестированию. А если вы матерый тестировщик, то обновить и упорядочить знания в предметной области, в том числе за счет международных стандартов и методологий отрасли.

Мнения специалистов разных стран:

А что думают специалисты в области тестирования и разработки ПО из США и Европы:

«Креативное мышление более ценно, чем сертификация. В ситуации с наймом я, как правило, предпочитаю человека, который имеет самый непосредственный опыт работы, вместо сертифицированного специалиста. Кроме того, если сертификация сертифицированного специалиста не добавляет ценности работе, она становится для меня скорее отрицательным показателем, чем положительным».Джо Коли Мендон, Массачусетс.

«Сертификаты могут помочь в отборе лучшей части специалистов на рынке труда, из которой вы можете затем выбрать подмножество, которое действительно отвечает всем требованиям. Сертификаты не являются панацеей от проблем с набором персонала и не станут надежной, железной гарантией наличия у работника необходимых навыков». Дебашиш Чакрабарти, Швеция.

«Означает ли наличие сертификата, что менеджер проекта является хорошим специалистом? Нет. Значит ли это, что он заинтересован в том, чтобы тратить время на себя и продвигать профессию с помощью непрерывного образования и участия? Да». Райли Хоран Сент-Пол, Миннесота

Ссылка на оригинальную статью с отзывами.

Мышление ит-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года).

, и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».

Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP

– пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Icagile

ICAgile. После прохождения обучения вы можете получить международный сертификат. Тренинги от ICAgile достаточно известны и популярны. Получить сертификат достаточно просто: прослушал курс – получи сертификат.

Обучение проходит по 8 трекам плюс 1 бизнесовый блок.

В каждом треке есть 2 уровня. Прошёл обучение по каждому уровню – получаешь статус по всему треку.

Обучение на каждом уровне длится в течение 3-х дней, много практики.

Сертификат

Сертификат пришлют в течение 4 недель после курса. Сертификат выдаётся бессрочно, продлевать не нужно.

Проверить сертификат на действительность можно по ссылке.

Стоимость обучения варьируется в зависимости от трека от 35 до 90 тысяч рублей. Стоимость курса включает выдачу сертификата. Ничего доплачивать не нужно.

 Из плюсов:

 Из минусов:

Что нужно знать о выборе уровней и направлений:

1. Уровень Foundation (F)направления Сore

– основа для любого сертификата более высокого уровня.

2. Уровень Fнаправления Specialist – для него предусмотрена узкоспециализированная сертификация: usability, mobile application, performance, acceptance, model-based тестирование и др.

3. Уровень F и Advanced (AD)направления Agile – спрос на сертификаты такого образца за последние 2 года вырос более чем на 20%.

4. Уровень AD – предусмотрена сертификация для/по:— тест-менеджеров; — инженеров по автоматизации тестирования; — тест-аналитике;— технической тест-аналитике; — тестированию безопасности.

5. Уровень Expert (EX) – предполагает сертификацию по направлениям тест-менеджмент и улучшение процесса тестирования.

Кстати, при выборе уровней сертификации для нужного вам направления обращайтесь к информации основного сайта ISTQB, т.к. на сайтах провайдеров бывают неточности в описании.

Что же не так?

Довольно быстро выясняется, что о существовании CISSP знаете только Вы и пара коллег. Эти загадочные буквы не фигурируют в названиях вакансий, если это, конечно, не иностранная компания, где CISSP зачастую являются обязательным условием приглашения на собеседование.

Однако престиж профессии постепенно падает, и абитуриенты отдают предпочтение более раскрученным и социально привлекательным специальностям, а выпускники ВУЗов, приходящие на собеседования всё чаще, не могут сформулировать, чем же конкретно они занимались последние 5 лет в стенах своей alma mater.

Парадокс в другом – количество сертифицированных CISSP, CISA и CISM в РФ постепенно растет, а значит не всё потеряно.

Блог Сергея на английском языке можно прочитать тут.

Kanban university

Kanban University. Сертификация проходит аналогично ICAgile, прослушал курс – получи сертификат. Для сертификации доступно 5 треков.

Team Kanban Practitioner – это однодневный курс для тех, кто хочет познакомиться с Kanban.

Чтобы получить Kanban Management Professional необходимо пройти обе ступени KMP1 и KMP2.

Треки Management, Coaching, Consultant и Trainer – подойдут для тех, кто планирует стать тренером или коучем по Kanban.

Сертификат

Проверить сертификат можно по ссылке.

Обучение проходит в течении 1-2 дней, зависит от трека. Стоимость составляет порядка 25-50 тысяч рублей за одну ступень. 

 Из плюсов:

 Из минусов:

Вопросы для оценки необходимости стать сертифицированным специалистом

Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой «аудиторский» чеклист:

1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
2. На работе занимаетесь проектами по большинству тем экзамена?
3. Без словаря читаете английские статьи на профессиональные темы?
4. Есть желание двигаться по карьерной лестнице вверх?
5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
6. Хоть немного ощущаете себя настоящим менеджером?
7. Готовы к тому, чтобы жить и работать в столице?

Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

Cissp

Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

Отбросить бредовый вариант сразу и не тормозить

Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой.

Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу.

Что такое istqb, уровни сертификации istqb и так ли вам это необходимо

ISTQB – некоммерческая организация, которая занимается вопросами развития сферы тестирования ПО, основана представителями 8 стран: Австрии, Дании, Финляндии, Германии, Швеции, Швейцарии, Нидерландов и Великобритании.

ISTQB Сертификация Тестировщика – программа, которая позволяет специалистам получать международный сертификат по тестированию.

На декабрь 2021 года организацией ISTQB было проведено 830 000 экзаменов и выдано более 605 000 сертификатов, которые признаются в 126 странах мира.

Звучит здорово, не так ли? Однако так ли необходима сертификация на самом деле? Какие преимущества дает наличие сертификата специалистам по тестированию и какие возможности открывает перед ними?

Что делать?

Кроме собственно сертификатов от вендоров, существуют и вендор-независимые системы сертификации, в сторону которых я и рекомендую смотреть специалистам, которые не отказались от идеи самостоятельного развития и профессионального роста.

На самом деле, у меня уже был опыт сдачи подобного экзамена в 2021 году, когда я сдавал CompTIA Security . Это очень неплохой вариант для начинающего специалиста, чтобы оценить свой уровень и даже расширить кругозор в каких-то вопросах. CompTIA Secuity это такой блиц из 90 вопросов за 90 минут.

Регистрируемся на экзамен

Экзамен сдается в знакомой многим тестовой системе Pearson VUE, где принимают экзамены те же Cisco или Microsoft. Однако фокус в том, что далеко не каждый из тестовых центров принимает этот экзамен. В Санкт-Петербурге, например, такой центр всего один.

Всё дело в том, что к тестовым центрам, принимающим экзамен CISSP предъявляются более суровые требования, чем обычно. Например, при регистрации в тестовом центре необходима биометрическая идентификация по рисунку вен ладони, соответственно тестовому центру необходимо иметь соответствующее оборудование.

На экзамен брать с собой ничего нельзя, кроме необходимых медикаментов и, пожалуй, чего-нибудь перекусить. А вот не забыть надо с собой документ, удостоверяющий личность.

Что за сертификаты?

Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.

CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

Размещение цс «xca» на предприятии

И так, в итоге мы будем иметь полнофункциональный УЦ масштаба предприятия, полностью поддерживающий российскую криптографию.

Где размещать ЦС «XCA»? Самое разумное – это отдел кадров или служба безопасности. Приходя при приеме на работу в одну из этих служб сотрудник получает здесь помимо все прочего токен, на котором сгенерирован неизвлекаемый ключ:

и установлен его сертификат:

В итоге в БД ЦС «XCA» будут храниться как корневой самоподписанный сертификат центра, так и сертификаты сотрудников предприятия:

В БД также находится информация о том, где хранятся приватные ключи:

Наблюдения по итогу анализа рынка труда на linkedin:

1. В подавляющем большинстве случаев сертификация не является обязательным требованием при устройстве на работу в качестве специалиста по тестированию.
2. Хотя сертификация выдается бессрочно, в вакансиях встречаются требования на ограничения по времени получения сертификата (Certified ISTQB Foundation level in the past 2 years will be a plus).
3. От соискателей, претендующих на вакансии с высокой квалификацией в специализированных направлениях тестирования, требуют наличия заветной бумажки: автотестирование, тест-анализ, тест-менеджмент, senior QA.
4. ISTQB не является единственным вариантом сертификации, допускается наличие эквивалентов.

«бумажная» безопасность

Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

Курсы подготовки

Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

Зачем нужен сертификат x509?

И так зачем нужен сертификат гражданину РФ и юридическим лицам? Самое узнаваемое – это доступ на портал Госуслуг. Не менее значимое – доступ на портал ФНС. Далее — электронные торги и многое другое. Как правило, этот список есть на каждом УЦ, зарегистрированном в Минкомсвязи.

Базы вопросов

Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену.

Глоссарий терминов

Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте

. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)

Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов:

Шаг 4. подготовка в последнюю неделю перед экзаменом

Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.

Списывание

У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Что происходит на рынке труда: необходима ли сертификация в области тестирования при устройстве на работу?

За основу мы взяли общедоступные данные по вакансиям с

LinkedIn

и проанализировали соотношение требований к сертификации специалистов в области тестирования к общему числу вакансий в области тестирования.

Что дальше

Итак, экзамен сдан, и Вы стали CISSP (ха-ха, на самом деле, нет). Теперь ваш опыт должен подтвердить кто-то из действующих CISSP. Это может быть коллега, приятель или даже совсем не знакомый человек – нигде в правилах не указано, в каких Вы должны быть с ним отношениях.

При пожаре выносить первым!

Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Что нужно знать и понимать?

Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

Обращайте внимание на first, last, except, not

Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.

Scrum.org

Scrum.org. Вторая всемирноизвестная сертификация по Scrum. Компания Scrum.org была основана в 2009 году Кеном Швабером.

Еще немного об этике

И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Шаг 1. где я?

Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

Какой istqb выбрать?

Для начала разберемся с вариантами сертификации специалистов по тестированию. ISTQB предлагает 3 уровня сертификации и 3 направления для каждого из уровней согласно матрице:

Как подготовиться?

Исходя из собственного опыта подготовки к экзаменам и проведения

предлагаю следующий алгоритм.

Дополнительные материалы

По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (

Шаг 2. что с английским?

Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

Новогодние хлопоты

И вот, после кропотливого изучения проекта, его автору Christian Hohnstädt в предверии Нового Года было отправлено следующее письмо:

Пара лайфхаков

В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Какие могут быть сложности?

Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

Перечень провайдеров