Информационная безопасность: как набить себе цену? – CNews

Информационная безопасность: как набить себе цену? - CNews Сертификаты
На чтение 22 мин. Просмотров 13 Опубликовано
Содержание
  1. Что нужно знать и понимать?
  2. Что за сертификаты?
  3. Шаг 2. что с английским?
  4. «бумажная» безопасность
  5. Cisa – сертифицированный аудитор информационных систем в академия информационных систем
  6. Cissp
  7. Comptia security
  8. Базы вопросов
  9. Вопросы для оценки необходимости стать сертифицированным специалистом
  10. Глоссарий терминов
  11. Дополнительные материалы
  12. Другие сертификаты и как их получить
  13. Еще немного об этике
  14. Заполнить и выслать форму о присвоении квалификации
  15. Информационная безопасность: как набить себе цену?
  16. Как подготовиться?
  17. Какие могут быть сложности?
  18. Книги
  19. Курсы подготовки
  20. Мышление ит-аудитора
  21. Обращайте внимание на first, last, except, not
  22. Отбросить бредовый вариант сразу и не тормозить
  23. Пара лайфхаков
  24. Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)
  25. Подписать кодекс профессиональной этики
  26. Подтверждение опыта работы
  27. Предложение/спрос
  28. При пожаре выносить первым!
  29. Сертифицированный cisco network associate security (ссna security)
  30. Сертифицированный этичный хакер (сeh)
  31. Списывание
  32. Успешно сдать экзамен
  33. Шаг 1. где я?
  34. Шаг 4. подготовка в последнюю неделю перед экзаменом

Что нужно знать и понимать?

Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

Что за сертификаты?

Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) — сертифицированный специалист по информационной безопасности.

CISA (Certified Information Systems Auditor) — сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) — сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

CISSP

CISA

CISM

Домены

1. Security and Risk
Management

2. Asset Security

3. Security
Engineering

4. Communication and
Network Security

5. Identity and
Access Management

6. Security
Assessment and Testing

7. Security
Operations

8. Software
Development Security

1. The Process of
Auditing Information Systems

2. Governance and
Management of IT

3. Information
Systems Acquisition, Development and Implementation

4. Information
Systems Operations, Maintenance and Service Management

5. Protection of Information Assets

1. Information
Security Governance

2. Information Risk
Management

3. Information
Security Program Development and Management

4. Information Security
Incident Management

Длительность

6 часов

4 часа

4 часа

Количество вопросов

250

150

150

Проходной балл

700 из 1000 баллов

450 из 800 баллов

450 из 800 баллов

Требования к опыту

5 лет

5 лет

5 лет

Организация

ISC2

ISACA

ISACA

Стоимость экзамена

599 USD

760 USD

575 USD
для членов ISACA

760 USD

575 USD для членов ISACA

Продление

85 USD

85 USD

45 USD
для членов ISACA

85 USD

45 USD для членов ISACA

Шаг 2. что с английским?

Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

«бумажная» безопасность

Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

Cisa – сертифицированный аудитор информационных систем в академия информационных систем

Андрей окончил МГУ им. М.В. Ломоносова по специальности прикладная математика, проходил повышение квалификации и стажировку в области менеджмента и ИТ в зарубежных учебных центрах и компаниях. 

Опыт работы – более 35 лет, включая Академию народного хозяйства и международные аудиторские и консалтинговые фирмы Большой Четверки.

Обладает опытом руководства проектами в области ИТ/ИБ аудита и консалтинга с учетом российских регуляторных требований, а также международных стандартов (COBIT, ISO 27001, ISAE 3402) в финансовом секторе и различных отраслях индустрии в РФ и странах СНГ.

Андрей имеет большой опыт выступлений, включая международные конференции, а также проведение семинаров и учебных курсов в области аудита и управления ИТ. Андрей-Первый вице-президент Московского отделения международной профессиональной ассоциации аудиторов информационных систем ISACA (

https://engage.isaca.org/moscow/home

). Является аккредитованным ISACA/APMG тренером подготовительных курсов для сдачи международных экзаменов CISA, CISM, CGEIT, COBIT5, COBIT 2021. Участвовал в разработке нормативных российских документов в области ИТ/ИБ, официальном переводе COBIT 5, автор статей в российских и зарубежных изданиях.

Cissp

Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

Comptia security

Первый сертификат, который должен получить начинающий специалист – CompTIA Security . Он подтверждает необходимые для любой роли в области кибербезопасности фундаментальные навыки и служит ступенькой к позициям среднего уровня. Security включает передовой опыт практического устранения неполадок и навыки решения проблем безопасности:

  • Оценку состояния безопасности корпоративной среды, а также выбор и внедрение соответствующие решений.
  • Навыки мониторинга и обеспечения безопасности гибридных сред, включая облачные, мобильные и IoT.
  • Умение действовать, зная о применимых законах и политиках, в том числе о принципах корпоративного управления, рисках и нормативных требованиях.
  • Выявление и анализ событий и инцидентов, связанных с безопасностью, а также реагирование на них.

Кому может потребоваться сертификат?

  • Администраторам безопасности.
  • Системным администраторам.
  • Менеджерам службы поддержки (аналитикам).
  • Сетевым/облачным инженерам.
  • Инженерам по безопасности (аналитикам).
  • Инженерам DevOps и разработчикам программного обеспечения.
  • ИТ-аудиторам.
  • Менеджерам ИТ-проектов.

Какие навыки необходимы для получения сертификата?

  • Атаки, угрозы и уязвимости. Внимание стоит сосредоточить на пользовательских устройствах, устройствах Интернета вещей и других встраиваемых решениях, а также на атаках DDoS и методах социальной инженерии.
  • Архитектура и дизайн. Изучите корпоративные среды и облачные решения, которые все чаще используются по мере перехода организаций к гибридной инфраструктуре.
  • Выполнение. Сосредоточьтесь на администрировании учетных записей, управлении доступом, PKI, базовой криптографии, беспроводной сети и сквозной безопасности.
  • Операции и реагирование на инциденты. Придется изучить процедуры оценки безопасности организации и реагирования на инциденты, такие как базовое обнаружение угроз, методы снижения рисков и базовую цифровую криминалистику.
  • Управление, риски и соответствие. Изучите управление организационными рисками и соблюдением нормативных требований, вроде PCI-DSS, SOX, HIPAA, GDPR, FISMA, NIST и CCPA.

Рекомендуемый опыт: CompTIA Network и два года опыта в ИТ-администрировании с фокусом на безопасности.

Цена сертификата: от $370.

Базы вопросов

Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену.

Вопросы для оценки необходимости стать сертифицированным специалистом

Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой «аудиторский» чеклист:

  1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
  2. На работе занимаетесь проектами по большинству тем экзамена?
  3. Без словаря читаете английские статьи на профессиональные темы?
  4. Есть желание двигаться по карьерной лестнице вверх?
  5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
  6. Хоть немного ощущаете себя настоящим менеджером?
  7. Готовы к тому, чтобы жить и работать в столице?

Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен (ы), а затем постоянно поддерживать свои знания на достойном уровне.

Глоссарий терминов

Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте глоссарий от ISACA. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

Дополнительные материалы

По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (isaca.org, isc2.org, thebci.org, drii.org).

Другие сертификаты и как их получить

Хотя многие эксперты по кибербезопасности имеют диплом о высшем образовании в области компьютерных наук, работодатели часто предпочитают кандидатов с подтвержденными знаниями и опытом. Выбирать можно из множества различных сертификатов: от общих до выдаваемых производителями сетевого оборудования и разработчиками решений в сфере информационной безопасности.

Еще немного об этике

И у ISC2, и у ISACA есть кодекс профессиональной этики — его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Заполнить и выслать форму о присвоении квалификации

При наличии всех вышеописанных требований, кандидат заполняет форму для присвоения квалификации. Ниже указаны способы получения бланков:

Информационная безопасность: как набить себе цену?

По мнению аналитиков, американские специалисты по защите информации, владеющие сертификатами CISA и CISSP, получают более высокую зарплату, чем другие сертифицированные ИБ-сотрудники. У российских специалистов также есть шанс увеличить свои доходы, вовремя получив нужный сертификат.

Программы сертификации специалистов по защите информации CISA и CISSP становятся популярны в России. Сейчас защита информации воспринимается как бизнес процесс, то есть процесс, непосредственно влияющий на эффективность бизнеса. И этот процесс требует планирования и управления. Возникает потребность в специалистах, которые способны организовать все по-новому, и сертификат CISSP – признак того, что человек сможет сделать эту работу. Кроме того, возникает потребность в специалистах, способных авторитетно подтвердить потенциальным партнерам, инвесторам, что данный процесс организован на современном уровне – сертификат CISA может подтвердить эту квалификацию.

Востребованность сертификатов CISA и CISSP на глобальном рынке подтверждается одним интересным фактом: согласно опросам организации SANS за 2005 год, специалисты, обладающие именно этими сертификатами, в среднем получают максимальную по отрасли зарплату.

Средняя зарплата сертифицированных ИБ-специалистов

СертификатСреднегодовая зарплата в США, $
ISACA (CISM, CISA)98 571
(ISC)2 (CISSP, SSCP)95 155
GIAC (GSEC, GSWIN, и др.)80 093
Vendor (Microsoft, Cisco)79 430
CompTIA (Security , и др.)68 036

Источник: SANS

Выходит, что в США специалисты, владеющие сертификатами CISA и CISSP, ценятся достаточно высоко. В России же эти сертификаты известны мало, но интерес к ним постепенно растет. Имеет смысл более подробно познакомиться с этими перспективными программами.

Как получить CISA и CISSP?

Программы сертификации CISA и CISSP направлены на сертификацию специалистов в области управления информационной безопасностью, но имеют несколько разный фокус внимания. Программа CISA (Certified Information Security Auditor) является одной из старейших и была принята в 1978 году. Она разработана и развивается организацией ISACA (Information System Audit and Control Association). Как ясно из названия, программа направлена на сертификацию аудиторов безопасности информационных систем. Напомним, что в задачу аудитора входит проверка соответствия политик безопасности компании требованиям законодательства, стандартам в области управления безопасностью и продекларированным бизнес-целям.

Для получения сертификата CISA необходимо успешно пройти тестирование, в ходе которого проверяется наличие у кандидата знаний, необходимых аудитору. Они включают в себя знание методов организации аудита защищенности информационной системы предприятия, знание требований, на соответствие которым производится проверка, и знание документов, разрабатываемых на основе результатов аудита. Кроме того, кандидат должен иметь опыт работы в области аудита не менее 5 лет.

После получения сертификата CISA его необходимо поддерживать в актуальном состоянии. Для этого следует соблюдать профессиональную этику, придерживаться стандартов при проведении аудита и постоянно обновлять свои профессиональные знания. Сертифицированный специалист является в некотором роде членом виртуального клуба профессионалов, из которого он может быть исключен при несоблюдении правил поведения или если он не качественно делает свою работу.

Сертификацию специалистов, которые разрабатывают политики безопасности и архитектуру защиты информационной системы, предлагает консорциум (ISC)2 – International Information Systems Security Certification Consortium. В его задачи входит поддержка системы знаний, необходимых профессионалу в области защиты информации, формулирование требований для сертификации и ее проведение. Консорциум предлагает несколько программ, и самая популярная из них – CISSP (Certified Information Systems Security Professional).

Процедура сертификации специалиста по программе CISSP очень похожа на сертификацию по CISA. Кандидат должен иметь не менее 4 лет профессионального опыта, успешно пройти тестирование знаний и предоставить рекомендацию другого специалиста в области защиты информации. Для успешной сдачи теста кандидат должен уметь разрабатывать политики безопасности предприятия, разбираться в технических средствах и организационных мерах по защите информации, знать принципы организации разработки приложений и систем с учетом требований безопасности. После получения сертификат CISSP так же необходимо поддерживать в актуальном состоянии. Для специалистов, уже имеющих сертификат CISSP, консорциум (ISC)2 предлагает углубленные программы сертификации.

Сертификаты – взгляд со стороны профессионалов

Итак, программа сертификации CISA позиционируется как сертификация аудиторов, а CISSP – разработчиков систем защиты информации. В профессиональной среде они именно так и воспринимаются, что частично подтверждается результатами опроса SANS. Достаточно взглянуть, как сами специалисты оценивают уровень необходимых знаний для получения тех или иных сертификатов.

Знания, подтверждаемые сертификатом

СертификатПроцент ответивших, что сертификат подтверждает знания в области
Настройка оборудования, %Политики безопасности, %Управление безопасностью, %
(ISC)2 (CISSP, SSCP)35,259,254,1
ISACA (CISM, CISA)10,431,331,9
GIAC (GSEC, GSWIN, и др. )64,340,629,1
Vendor (Microsoft, Cisco)59,98,99,5

Источник: SANS

Сертификаты (ISC)2 воспринимаются как более «технические», «политические» и «управленческие», чем сертификации ISACA. Другой важный результат опроса – это восприятие сертификатов (ISC)2 и ISACA как сертификатов, не оценивающих знания специалистов в области настройки конкретного оборудования. Действительно, даже относительно более «технические» программы (ISC)2 проигрывают сертификациям GIAC и различных вендоров в оценке знания конкретного оборудования. Но в этом нет ничего удивительного. И программы CISA и программы (ISC)2 требуют знания не конкретных реализаций или способов настройки конкретного оборудования, а знания свойств различных технологий с точки зрения защиты информации, взаимной зависимости различных методов и средств обеспечения безопасности. При этом предполагается, что настройкой оборудования по созданным этими специалистами спецификациям должны заниматься уже другие сотрудники.

CISA и CISSP: конкуренция или дополнение?

Несмотря на такую разницу в позиционировании программ CISA и CISSP, между ними есть существенные пересечения. В идеале, аудит должен подтвердить соответствие системы поставленным задачам, возможно, с необходимостью внесения небольших изменений. В результате защищенность системы считается официально подтвержденной. Понятие «небольшие изменения» очень расплывчато, и зачастую процедура аудита системы плавно перетекает в процесс разработки соответствующих политик. Если целью организации аудита является только получение официальных бумаг, то специалист, занимающийся аудитом, вполне может сделать эту работу.

С другой стороны, специалист, занимающийся разработкой политик безопасности, должен знать, какие требования будут предъявляться к ним в процессе аудита. Более того, бывают ситуации, когда компании не требуется внешнего, независимого подтверждения соответствия каким-либо требованиям. В этом случае разработчик системы должен доказать руководству предприятия, что система удовлетворяет заданным требованиям в области безопасности, провести внутренний аудит. И поскольку такое пересечение существует, многие специалисты получают оба этих сертификата, считая, что знания в двух областях взаимно дополняются и помогают друг другу.

Проблемы правильного выбора и поддержки сертификатов по информационной безопасности будут обсуждаться на учебном курсе “Защита корпоративной информации”.

Геннадий Махметов

Как подготовиться?

Исходя из собственного опыта подготовки к экзаменам и проведения подготовительных курсов в учебном центре «Эшелон» предлагаю следующий алгоритм.

Какие могут быть сложности?


Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2–3 года).

Список специализированных руководств по подготовке к рассматриваемым экзаменам приведен в конце статьи. Рад сообщить, что совсем недавно появилась первая российская книга, в которой рассматриваются основные домены экзаменов: «Семь безопасных информационных технологий», и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».

Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP Шон Харрис (выполнил Дмитрий Орлов) — пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать — массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Курсы подготовки

Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3–4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

Мышление ит-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное — не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка — ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

Обращайте внимание на first, last, except, not

Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело — в последнюю.

Отбросить бредовый вариант сразу и не тормозить

Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) — вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу — придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой.

Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу.

Пара лайфхаков

В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)

Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике.

Подписать кодекс профессиональной этики

Члены ISACA и/или обладатели сертификатов CISM принимают обязательство о соблюдении Кодекса Профессиональной Этики Code of Professional Ethics.

Цели непрерывного совершенствования компетенций:

  • Поддержка компетенций на должном уровне, обновление / актуализация навыков и знаний в области информационной безопасности. Обладатели квалификации CISM, соблюдающие данную политику лучше справляются с построением, поддержкой и оценкой результативности СУИБ компании.
  • Показать разницу между обладателем квалификации CISM и теми, кто не удовлетворяет требованиям по поддержке квалификации.

Минимальные требования по поддержанию квалификации 20 часов (CPE) в год, при этом, необходимо набирать 120 часов за фиксированный 3 летний цикл.

Примеры заполнения CISM Continuing Education Policy доступны на английском, испанском, японском и корейском языках.

Подтверждение опыта работы

После успешной сдачи экзамена, для присвоения квалификации, необходимо предоставить подтверждение релевантного опыта. Для этого следует предоставить подтверждение 5-летнего опыта работы в области информационной безопасности, включая 3х-летний управленческий опыт в следующих областях job practice analysis areas. Опыт работы засчитывается за 10 лет, предшествующих дате заявления или в течение 5 лет с момента успешной сдачи экзамена.

Пример замещения минимальных требований:

Два года:

  • Наличие сертификации Certified Information Systems Auditor (CISA)
  • Наличие сертификации Certified Information Systems Security Professional (CISSP)
  • Дополнительное образование в области информационной безопасности

Один год:

  • Один год управленческого опыта в ИТ
  • Один год управленческого опыта в подразделении безопасности.
  • Наличие нижеследующих сертификатов (SANS Global Information Assurance Certification (GIAC), Microsoft Certified Systems Engineer (MCSE), CompTIA Security , Disaster Recovery Institute Certified Business Continuity Professional (CBCP), ESL IT Security Manager)
  • Окончание образовательной программы по управлению информационной безопасностью в институте, учебная программа которого соответствует “Model Curriculum”

Замещение не распространяется на управленческий 3х-летний опыт.

Исключение: Два года опыта работы преподавателем в университете по направлению “информационная безопасность” могут быть засчитаны за любой один год опыта.

Предложение/спрос

Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают — заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже «пробивали» целую группу пользователей и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 50 аккаунтов российских пользователей с сертификатами CISA, 31 — c CISSP и 9 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:

CISSP

CISA

CISM

Количество открытых вакансий

41

47

26

Распределение

по регионам

Россия 33

Москва 29

Украина 4

Киев 4

Беларусь 2

Минск 2

Санкт-Петербург 2

Казахстан 1

Астана 1

Республика Алтай 1

Самарская область 1

Другие страны 1

США 1

Россия 34

Москва 33

Украина 8

Киев 8

Беларусь 3

Минск 3

Казахстан 2

Астана 1

Алматы 1

Республика Алтай 1

Россия 16

Москва 15

Украина 5

Киев 5

Беларусь 3

Минск 3

Казахстан 2

Астана 1

Алматы 1

Республика Алтай 1

Уровни заработной платы

Указана 8

от 195 000 руб — 3

от 310 000 руб.- 2

от 370 000 руб.- 1

Указана 4

от 195 000 руб. — 1

Указана 2

от 125 000 руб. 1

Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

При пожаре выносить первым!

Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Сертифицированный cisco network associate security (ссna security)

Получение сертификата CCNA Security подтверждает ваши знания о решениях в области безопасности. Кандидаты могут сдать один основной экзамен, а другой – по своему выбору.

Программа сертификации CCNA Security предназначена для начинающих специалистов, которые хотят продвинуться по карьерной лестнице.

Она подходит для следующих должностей:

  1. Инженер по безопасности приложений.
  2. Сетевой аналитик.
  3. Менеджер по работе с сетью.
  4. Специалист по обеспечению безопасности информации.
  5. Аналитик угроз.

Требования: хотя формальных условий для сдачи этого экзамена среднего уровня нет, рекомендуется иметь год опыта работы в области кибербезопасности с решениями Cisco.

Цена: $400 за основной тест и $300 за экзамен на концентрацию.

***

Получение сертификата стоит минимум несколько сотен долларов. Правильная сертификация серьезно повышает шансы кандидата на трудоустройство и уровень его заработной платы, однако инвестировать нужно с умом. Нет смысла тратить деньги, если вы не готовы к экзамену. Необходимые знания можно получить самостоятельно, но проще пройти онлайн-курсы.

Если вы только начинаете путь в профессии, обратите внимание на «Факультет информационной безопасности» образовательной онлайн-платформы GeekBrains. Под руководством опытных экспертов из ведущих технологических компаний вы получите там много практики по разным направлениям: тестам на проникновение, Python, реверс-инженирингу, безопасности сетей и криптографии.

Сертифицированный этичный хакер (сeh)

Этичный хакинг, также известный как взлом в белой шляпе – это практика законного взлома организаций с целью обнаружения уязвимостей до того, как это сделают злоумышленники.

Сертификат CEH (Certified Ethical Hacker) можно получить в EC-Council. Для этого потребуется продемонстрировать знания о тестировании на проникновение, сканировании уязвимостей, а также о векторах угроз и способах защиты от них. Сертификация CEH учит думать как хакер и проявлять большую активность в вопросах кибербезопасности.

Она подходит для следующих должностей:

  • Тестер на проникновение (пентестер).
  • Аналитик по киберинцидентам.
  • Аналитик по анализу угроз.
  • Архитектор облачной безопасности.
  • Инженер по кибербезопасности.

Требования: вы можете сдать экзамен CEH, если имеете двухлетний опыт работы в области информационной безопасности, или если вы прошли официальное повышение квалификации EC-Council.

Цена: $950 до $1199.

Списывание

У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Успешно сдать экзамен

Экзамен может сдать любой желающий, если проявит должное усердие при подготовке. В случае успешной сдачи, кандидат получит на электронную почту всю необходимую информацию о процедуре присвоения квалификации, включая результаты экзамена с разбивкой по доменам.

Шаг 1. где я?

Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

Шаг 4. подготовка в последнюю неделю перед экзаменом

Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.

Про сертификаты:  Сертификат безопасности сайта: как защитить данные пользователей
application form CISM квалификация кодекс этики Сертификация экзамен
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат