Информационная безопасность: как набить себе цену?
По мнению аналитиков, американские специалисты по защите информации, владеющие сертификатами CISA и CISSP, получают более высокую зарплату, чем другие сертифицированные ИБ-сотрудники. У российских специалистов также есть шанс увеличить свои доходы, вовремя получив нужный сертификат.
Программы сертификации специалистов по защите информации CISA и CISSP становятся популярны в России. Сейчас защита информации воспринимается как бизнес процесс, то есть процесс, непосредственно влияющий на эффективность бизнеса. И этот процесс требует планирования и управления. Возникает потребность в специалистах, которые способны организовать все по-новому, и сертификат CISSP – признак того, что человек сможет сделать эту работу. Кроме того, возникает потребность в специалистах, способных авторитетно подтвердить потенциальным партнерам, инвесторам, что данный процесс организован на современном уровне – сертификат CISA может подтвердить эту квалификацию.
Востребованность сертификатов CISA и CISSP на глобальном рынке подтверждается одним интересным фактом: согласно опросам организации SANS за 2005 год, специалисты, обладающие именно этими сертификатами, в среднем получают максимальную по отрасли зарплату.
Средняя зарплата сертифицированных ИБ-специалистов
| Сертификат | Среднегодовая зарплата в США, $ |
| ISACA (CISM, CISA) | 98 571 |
| (ISC)2 (CISSP, SSCP) | 95 155 |
| GIAC (GSEC, GSWIN, и др.) | 80 093 |
| Vendor (Microsoft, Cisco) | 79 430 |
| CompTIA (Security , и др.) | 68 036 |
Источник: SANS
Выходит, что в США специалисты, владеющие сертификатами CISA и CISSP, ценятся достаточно высоко. В России же эти сертификаты известны мало, но интерес к ним постепенно растет. Имеет смысл более подробно познакомиться с этими перспективными программами.
Как получить CISA и CISSP?
Программы сертификации CISA и CISSP направлены на сертификацию специалистов в области управления информационной безопасностью, но имеют несколько разный фокус внимания. Программа CISA (Certified Information Security Auditor) является одной из старейших и была принята в 1978 году. Она разработана и развивается организацией ISACA (Information System Audit and Control Association). Как ясно из названия, программа направлена на сертификацию аудиторов безопасности информационных систем. Напомним, что в задачу аудитора входит проверка соответствия политик безопасности компании требованиям законодательства, стандартам в области управления безопасностью и продекларированным бизнес-целям.
Для получения сертификата CISA необходимо успешно пройти тестирование, в ходе которого проверяется наличие у кандидата знаний, необходимых аудитору. Они включают в себя знание методов организации аудита защищенности информационной системы предприятия, знание требований, на соответствие которым производится проверка, и знание документов, разрабатываемых на основе результатов аудита. Кроме того, кандидат должен иметь опыт работы в области аудита не менее 5 лет.
После получения сертификата CISA его необходимо поддерживать в актуальном состоянии. Для этого следует соблюдать профессиональную этику, придерживаться стандартов при проведении аудита и постоянно обновлять свои профессиональные знания. Сертифицированный специалист является в некотором роде членом виртуального клуба профессионалов, из которого он может быть исключен при несоблюдении правил поведения или если он не качественно делает свою работу.
Сертификацию специалистов, которые разрабатывают политики безопасности и архитектуру защиты информационной системы, предлагает консорциум (ISC)2 – International Information Systems Security Certification Consortium. В его задачи входит поддержка системы знаний, необходимых профессионалу в области защиты информации, формулирование требований для сертификации и ее проведение. Консорциум предлагает несколько программ, и самая популярная из них – CISSP (Certified Information Systems Security Professional).
Процедура сертификации специалиста по программе CISSP очень похожа на сертификацию по CISA. Кандидат должен иметь не менее 4 лет профессионального опыта, успешно пройти тестирование знаний и предоставить рекомендацию другого специалиста в области защиты информации. Для успешной сдачи теста кандидат должен уметь разрабатывать политики безопасности предприятия, разбираться в технических средствах и организационных мерах по защите информации, знать принципы организации разработки приложений и систем с учетом требований безопасности. После получения сертификат CISSP так же необходимо поддерживать в актуальном состоянии. Для специалистов, уже имеющих сертификат CISSP, консорциум (ISC)2 предлагает углубленные программы сертификации.
Сертификаты – взгляд со стороны профессионалов
Итак, программа сертификации CISA позиционируется как сертификация аудиторов, а CISSP – разработчиков систем защиты информации. В профессиональной среде они именно так и воспринимаются, что частично подтверждается результатами опроса SANS. Достаточно взглянуть, как сами специалисты оценивают уровень необходимых знаний для получения тех или иных сертификатов.
Знания, подтверждаемые сертификатом
| Сертификат | Процент ответивших, что сертификат подтверждает знания в области | ||
| Настройка оборудования, % | Политики безопасности, % | Управление безопасностью, % | |
| (ISC)2 (CISSP, SSCP) | 35,2 | 59,2 | 54,1 |
| ISACA (CISM, CISA) | 10,4 | 31,3 | 31,9 |
| GIAC (GSEC, GSWIN, и др. ) | 64,3 | 40,6 | 29,1 |
| Vendor (Microsoft, Cisco) | 59,9 | 8,9 | 9,5 |
Источник: SANS
Сертификаты (ISC)2 воспринимаются как более «технические», «политические» и «управленческие», чем сертификации ISACA. Другой важный результат опроса – это восприятие сертификатов (ISC)2 и ISACA как сертификатов, не оценивающих знания специалистов в области настройки конкретного оборудования. Действительно, даже относительно более «технические» программы (ISC)2 проигрывают сертификациям GIAC и различных вендоров в оценке знания конкретного оборудования. Но в этом нет ничего удивительного. И программы CISA и программы (ISC)2 требуют знания не конкретных реализаций или способов настройки конкретного оборудования, а знания свойств различных технологий с точки зрения защиты информации, взаимной зависимости различных методов и средств обеспечения безопасности. При этом предполагается, что настройкой оборудования по созданным этими специалистами спецификациям должны заниматься уже другие сотрудники.
CISA и CISSP: конкуренция или дополнение?
Несмотря на такую разницу в позиционировании программ CISA и CISSP, между ними есть существенные пересечения. В идеале, аудит должен подтвердить соответствие системы поставленным задачам, возможно, с необходимостью внесения небольших изменений. В результате защищенность системы считается официально подтвержденной. Понятие «небольшие изменения» очень расплывчато, и зачастую процедура аудита системы плавно перетекает в процесс разработки соответствующих политик. Если целью организации аудита является только получение официальных бумаг, то специалист, занимающийся аудитом, вполне может сделать эту работу.
С другой стороны, специалист, занимающийся разработкой политик безопасности, должен знать, какие требования будут предъявляться к ним в процессе аудита. Более того, бывают ситуации, когда компании не требуется внешнего, независимого подтверждения соответствия каким-либо требованиям. В этом случае разработчик системы должен доказать руководству предприятия, что система удовлетворяет заданным требованиям в области безопасности, провести внутренний аудит. И поскольку такое пересечение существует, многие специалисты получают оба этих сертификата, считая, что знания в двух областях взаимно дополняются и помогают друг другу.
Проблемы правильного выбора и поддержки сертификатов по информационной безопасности будут обсуждаться на учебном курсе “Защита корпоративной информации”.
Геннадий Махметов
Как я сдавал (и сдал) cism. часть 2: подготовка и экзамен
Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен
- Допуск до экзамена CISM стоит $650. Однако если вы являетесь членом ISACA (годовое членство стоит порядка 150$), то вы получаете скидку, и экзамен будет для вас стоить $470. А если вы еще и рано зарегистрируетесь (примерно месяца за 4 ), то будет еще дешевле – $420. Однако я ни разу не успевал оплатить “раннюю регистрацию” и сдавал всегда за 470$.
- Я зарегистрировался на экзамен за 3,5 месяца до него.
- Экзамен можно сдать в России (Москва) 3 раза в год (июнь, сентябрь, декабрь). Обратите внимание, что в сентябре можно сдавать не во всех странах (в России можно).
- Ближайший экзамен будет 06.09.2021, “ранняя регистрация” уже закончилась, “финальная регистрация” до 23.07.2021
- Следующий экзамен будет 13.12.2021. Завершение “ранеей регистрации” – 20.08.2021, заверешение “финальной регистрации” – 24.10.2021. Я подумаю, может решу в декабре экзамен CGEIT сдать…
- CISM можно сдавать на одном из 4х языков (English, Japanese, Korean, Spanish). Очевидно, что в России все выбирают английский… Кстати, CGEIT и CRISC сдается только на английском, а CISA можно сдать на одном из 10 языков. Словарем пользоваться во время экзамена нельзя.
- Экзамен длиться 4 часа, за это время надо успеть ответить (выбрать 1 ответ из 4) на 200 вопросов. Вопросы очень не просты, обычно просят выбрать “лучший ответ”, или “самое главное”, или “самое первое”. Т.е. часто такое бывает, что из 4х ответов вроде как подходят все 4…
- Все вопросы сгруппированы по 4 доменам:
- Domain 1—Information Security Governance (24%)
- Domain 2—Information Risk Management and Compliance (33%)
- Domain 3—Information Security Program Development and Management (25%)
- Domain 4—Information Security Incident Management (18%)
- Для успешной сдачи экзамена надо набрать 450 баллов, как они точно определяются я понять не могу, но это не важно… Баллы считаются по каждому домену, а потом берется некое среднее (с учетом % доменов). По сути, можно набрать меньше 450 в некоторых доменах, а потом “вытянуть” весь экзамен за счет высоких баллов в других. Поэтому особо обратите внимание при подготовке на домен “Information Risk Management and Compliance”, он самый “ценный”.
Материалы для подготовки
- В начале рекомендую изучить “ISACA Exam Candidate Information Guide 2021“.
- Затем попробовать решить официальные примеры вопросов к экзаменам CISM и CISA .
- Для подготовки я рекомендую не пожалеть денег и купить что-то из официальных материалов :
- Я готовился по мануалу 2021 года и по коротким вопросам 2021 (supplement), также у меня были вопросы и мануал 2021 года. Еще я погулил и нашел в интернете несколько сотен примеров вопросов CISM.
- Все купленный материалы от ISACA присылают обычной почтой, книги печатные. В электронном виде их скачать не дают.
- На мой взгляд, мануал не самый полезный материал для подготовки к экзамену, без него можно вполне обойтись. В нем довольно много теории, но скорее “по верхам”. А вот примеры вопросов заказывать однозначно надо!!!
- Мои знакомы готовились по Question Database, по сути, это база вопросов и удобное ПО для их прорешивания на ПК. Обратите внимание, что программу можно установить/активировать всего 2 или 3 раза, правильным решением будет ее установка на виртуальную машину…
- Многие рекомендуют общаться и обсуждать вопросы CISM в специальных группах и на форумах, например, на ISACA и в Linkedin . Но я так не делал…
Подготовка к экзамену
- Главное правило: “Вопросы первичны, теория вторична!”. Уделите максимально много времени прорешиванию примеров вопросов и чтению пояснений к ним. Составление майндкарт по теории мне успеха не принесло…
- Обратите внимание на английский язык, а точнее незнакомые слова. Сначала я их выписывал отдельно, но потом понял, что без контекста они запоминаются плохо, и стал делать пометки-переводы прямо в тексте вопросов, а потом возвращался к ним.
- Я старался брать с собой примеры вопросов (распечатывал или копировал несколько страниц А4) и прорешивал их в метро. При этом я отмечал незнакомые мне слова и/или вопросы на “подумать” (когда ответ и объяснение были не очевидными). Позднее я возвращался к ним.
- Дома я прорешивал тесты, но не часто. Системы и планов типа “100 вопросов в день” у меня не было.
- За пару дней до экзамена я пролистал мануал, особо обращая внимание на части про риски и про управление непрерывностью.
Экзамен
- В 2021 году было удобно: экзамен, как обычно, был в субботу, но до этого было 2 дня выходных (День России). Но готовился не очень сильно, скорее больше отдыхал и перечитывал свои пометки.
- Для допуска к экзамену необходимо предъявить “ISACA Exam Admission eTicket” (он приходит и по обычной почте и по электронной, во втором случае его надо распечатать) и документ. удостоверяющий личность (паспорт).
- На месте надо заполнить согласие на обработку ПДн. Оно составлено на 2х языках, но можно заполнить только на одном.
- Экзамен сдается очень рано, регистрация с 8 утра, инструктаж запланирован на 8.30, а старт экзамена на 9.00. Обычно старт экзамена сдвигается (опаздывает) минут на 30-40. Но все равно не опаздывайте!
- Перед экзаменом я спал очень плохо, часто просыпался, думал, что опаздываю. Чтобы успеть собраться и доехать до места экзамена (International University of Moscow, Leningradsky Prospect, 17) я завел будильник на 06.20, а спать лег где-то в 01.00 (раньше не получилось ни лечь, ни заснуть).
- Экзамены ISACA сдавали 83 человека (CISM 12, CISA 61, CRISC CGEIT еще 10). В основном мужчины, но были и 6 девушек.
- ISACA регулярно пересматривает и обновляет свои вопросы, в моем экзамене было много современных технологий и СЗИ: SIEM, DLP, cloud, mobile security и BYOD, было пару вопросов про APT.
- Есть в вопросах 1 кейс (описание ситуации), по которому потом задают 3 вопроса. В прошлый раз было про сетевую безопасность, в этот раз про планирование системы ИБ и обоснование для руководства.
- Знакомых вопросов (те, что были в примерах, по которым я готовился) я встретил не более 5-10%.
- С собой на экзамен необходимо принести 2 простых карандаша и ластик, некоторые забывают, но им выдают на месте.
- На партах во время экзамена можно держать лишь книжку с вопросами, форму для ответов, паспорт и билет. Телефоны, воду, еду, листы бумаги (даже пустые) и прочее нельзя. Телефоны вообще просят оставить в верхней одежде, сумках, которые убираются на дальнюю парту/шкаф.
- Во время экзамена можно выходит в коридор (там стоит вода) и/или туалет только по одному. Все свои документы (вопросы, лист с ответами и паспорт) на это время сдаются.
- Рекомендую взять с собой наручные часы и очень аккуратно следить за временем, 4 часа экзамена пролетят очень быстро. Если часы не взяли, то не беда, на доске будут каждые пол часа отмечать оставшееся время.
- !!! Обратите внимание, что довольно много времени уходит на вписывание (штриховку) ответов в специальные кружочки. Не рекомендую оставлять оформление ответов на самый конец экзамена, можете не успеть. Рекомендую поступить следующим образом: прорешиваете 50 вопросов (можно делать пометки прямо в книге с вопросами, других черновиков нет), потом перепроверяете и вносите ответы в поле для ответов. Потом решаете еще 50 и так далее… После 100 вопросов я сделал паузу, вышел попить водичку и размять ноги. Ориентируйтесь на то, что на 50 вопросов с оформлением ответов у вас должно уходить не более 1 часа.
- По моим наблюдениям 1 человек ушел через 3 часа, еще несколько после 3.5 часов, большинство сидят практически до самого конца.
- Результаты экзаменов CISM и CISA приходят примерно через 5 недель, CGEIT и CRISC через 8 .
Вот как-то так, вроде рассказал про все… Если у вас есть еще вопросы, то спрашивайте в комментариях.
на нашем канале.