Основные сертификаты информационной безопасности для ИТ-специалистов и предприятий / Блог компании Panda Security в России и СНГ / Хабр

Что выбрать?

На этот вопрос вам никто не ответит кроме вас самих. Ваша будущая сертификация зависит от того, в какую фирму вы планируете и по какому профилю. Например, если вы пойдете в российскую фирму-разработчика средств защиты, то вам ни один из перечисленных ваше сертификатов не потребуется.

Если ваша цель –  компании большой четверки, то без CISA (а для Ernst&Young еще и CISSP) вам не обойтись. Если вы стремитесь управлять процессами информационной безопасности у своего работодателя, то здесь вам понадобится CISSP или CISM. И, наконец, если вы просто хотите быть хорошим администратором безопасности или входить в группу реагирования на инциденты, то лучше сконцентрироваться на получении «вендорских» сертификатов, SSCP или GIAc .

Если же вы юрист и хотите заниматься расследованиями компьютерных преступлений, то вам понадобятся сертификаты, о которых выше не говорилось: CCCI (Certified Computer Crime Investigator), CCFT (Certified Computer Forensic Technician), CCCP (Certified Computer Crime Prosecutor)

Не стоит забывать, что сертификат только подтверждает ваши знания, а не наоборот. В конце концов, может статься, что если вы сотрудник первого отдела или специалист по борьбе с мошенничеством, то вам скорее подойдет сертификат CCO (Certified Confidentiality Officer) от частного агентства BECCA (Business Espionage Controls Countermeasures Association)

или CFE (Certified Fraud Examiner) от ACFE (Association of Certified Fraud Examiners) соответственно. Эти сертификаты не являются общепризнанными и вряд ли знакомы большинству HR-менеджеров, но зато подготовка к их получению даст вам действительно полезные и нужные на вашей позиции знания.

Стоит ли так стремиться к сертификату? Некоторые готовы построить свой профессиональный и карьерный рост только через призму своего таланта – им не нужны никакие сертификации. Да и многие консультанты по карьере рекомендуют получать не сертификаты, а опыт работы в какой-либо крупной и «серьезной» компании, что гораздо больше влияет на карьеру и рост зарплаты, чем наличие какого-либо статуса.

Но и сертификат не является совсем уж бесполезной вещью. Если у вас нет опыта работы в Cisco, IBM, Ernst&Young и вы не уверены в силе своего таланта, то «бумага с печатью» лишней не будет. Надо помнить, что когда резюме смотрит сотрудник отдела кадров, то у него перед глазами только 4-х и 5-ти буквенные аббревиатуры – опыт по информационной безопасности в резюме не покажешь.

Поэтому при наличии сертификата шансы на первое интервью возрастают. А вот на первом и последующих интервью сертификат уже не будет играть столь важную роль. Хороший менеджер по персоналу будет обращать внимание на немного другие характеристики кандидата – умение работать в команде, мотивация, понимание корпоративных ценностей, готовность к обучению и т.д.

Что такое cissp?

CISSP — полная форма Certified Information Systems Security Professional считается стандартом качества в области информационной безопасности.

Эта Кибер-сертификация предлагается (ISC) 2, которая является международной некоммерческой организацией с более чем 200 000 сертифицированных членов.

Сертификация была введена в 1994 году и является наиболее необходимой сертификацией безопасности на Linkedin. Экзамен доступен на 8 языках в 882 местах в 114 странах. Сертификация соответствует стандарту ISO / IEC 17024.

Сегодня многие специалисты по информационной безопасности предпочитают обучение по сертификации CISSP. Это обеспечивает профессионала информационной безопасности с целью измерения компетентности и всемирно признанного стандарта достижений.

В этом учебном пособии вы узнаете,

Что такое cpe и как работает система?

Кредиты на непрерывное профессиональное образование, именуемые CPE, присуждаются за обучение и профессиональную подготовку в вашей области. Они необходимы для поддержания вашей сертификации CISSP. Вы должны зарабатывать 40 CPE каждый год в общей сложности 120 в течение вашего трехлетнего цикла сертификации.

Вы можете зарабатывать CPE, готовясь к экзамену CISSP, в том числе, принимая вышеуказанные учебные программы. К сожалению, (ISC) 2 не очень подходит, когда дело доходит до информации об особенностях зарабатывания CPE посредством экзаменационного обучения.

Похоже, что вы можете потребовать дополнительные CPE для завершения учебных программ, таких как перечисленные выше в верхней части программы самообучения. Однако это не совсем ясно, поэтому мы предлагаем вам связаться с (ISC) 2 для получения дополнительной информации о вашем конкретном случае.

StationX: полный комплект CISSP

Полный комплект CISSP от StationX – наша главная рекомендация. Он предлагает все необходимое для успешной сдачи экзамена, и все это по чрезвычайно низкой цене. Курс был обновлен, чтобы охватить версию сертификации CISSP 2021 года, что означает, что материал актуален до 2021 года (когда должно появиться следующее обновление).

Этот комплект включает в себя:

• Введение в сертификацию CISSP
• Более 17 часов обучения
• Почти 600 загружаемых слайдов
• Учебный план
• 1000 практических вопросов
• Советы о том, где найти тысячи бесплатных CPE

Помимо обучения тому, что вам нужно знать, этот курс содержит бесценные советы о том, как эффективно учиться, и правильный подход к ответам на вопросы. Вы также найдете следующие шаги после сдачи экзамена и советы, которые помогут вам в случае неудачи в первый раз. Этот курс может рассчитывать на CPE, но вам может потребоваться проверить с (ISC) ², чтобы точно узнать, сколько.

ЛУЧШИЙ КУРС ДЛЯ CISSP ЭКЗАМЕН: StationX – наш выбор № 1 Этот курс обычно продается по цене 400 долларов, но вы можете получить его по невероятно низкая цена 52 $.

Официальный (ISC) ² CISSP Самостоятельное обучение

Это официальный курс, предлагаемый самой (ISC) 2. Очевидно, что главный бонус этой программы заключается в том, что вы можете быть уверены, что она полностью соответствует обновленному сертификационному экзамену CISSP. У этого нет огромного ценника (по сравнению с другими курсами), но может быть вне бюджета многих экзаменаторов.

Одним из недостатков является то, что материал доступен только в течение ограниченного времени после оплаты, поэтому, несмотря на то, что он называется «тренинг с самостоятельным обучением», вы не можете идти слишком медленными темпами. Если вы планируете потратить более 120 дней (около четырех месяцев) на подготовку к экзамену, вам может потребоваться снова переложить плату..

Вот что вы можете ожидать от этой учебной программы:

• Официальное (ISC) 2 Учебное пособие для студентов
• 30 часов видеоинструкции, включающей более 300 записей
• Заработать 40 CPE
• Интерактивные флеш-карты
• Мероприятия для самостоятельного чтения
• Реальные примеры сценариев и тематические исследования
• Проверяет знания после завершения каждого домена
• Вопросы для оценки, как только вы закончите курс

Цена: Этот курс стоит $ 849, что разумно по сравнению со многими другими в списке.

SANS: MGT414: Программа обучения SANS для сертификации CISSP®

Институт SANS предлагает курс CISSP в нескольких форматах, в том числе в режиме реального времени в классе или по запросу в режиме онлайн. Это самый дорогой вариант в списке, поэтому он не является хорошим решением, если у вас ограниченный бюджет. Тем не менее, если вы ищете надежный и всеобъемлющий курс и, возможно, у вас есть работодатель, готовый оплатить счет, этот курс вам поможет.

Курс насчитывает 46 CPE и помимо уроков включает в себя:

• Учебник для каждого домена
• Более 300 вопросов тестирования и подготовки знаний для каждой области
• Аудио файлы с содержанием курса

MGT414 разделяет каждый из восьми доменов CISSP на свои основные компоненты и объясняет, как они связаны друг с другом и другими аспектами кибербезопасности. Если вы обнаружите, что содержание CISSP сухое (что делают многие люди), то это может быть хорошим вариантом для вас.

Цена: Это дорогой курс в $ 7,020.

Глобальные знания: подготовительный курс к сертификации CISSP

Global Knowledge предоставляет вам два варианта прохождения подготовительного курса к сертификации CISSP: в режиме реального времени в классе или в виртуальном классе. Оба курса длятся пять дней подряд и дают исчерпывающий обзор контента CISSP с акцентом на восемь основных областей..

Этот вариант не подходит, если вы предпочитаете работать в Интернете в своем собственном темпе. Обратите внимание, что на главной странице продукта указано, что доступна версия по запросу, но она недоступна на момент написания статьи..

По словам представителя компании, вы можете претендовать на 40 CPE для этого курса.

Цена: И живые и виртуальные курсы имеют одинаковую цену: $ 3595.

Infosec: сертификационный учебный лагерь CISSP

Курсы Infosec приветствуются за их содержание и качество инструкторов. Это еще один курс, который вы можете пройти лично или в виртуальном классе. Опция Flex Classroom включает в себя живое обучение в физическом месте, которое включает в себя материалы курса, готовые обеды и доступ к форуму сообщества..

Flex Pro – это захватывающий курс для онлайн-студентов. К сожалению, невозможно пройти этот курс в своем собственном темпе, хотя материалы предоставляются для ознакомления, если вы решите воспользоваться онлайн-опцией.

Возможно, вам придется подтвердить с помощью (ISC) ² сколько CPE вы можете получить за этот курс, но вы должны иметь возможность подать заявку по одному в час обучения.

Цена: Вам нужно связаться с Infosec для уточнения цены, но мы получили около $ 4500.

Важный домен сертификата cissp

Домен — это широкая тема, которую нужно освоить, чтобы получить сертификат CISSP. Вот важные домены CISSP:

• Домен 1. Безопасность и управление рисками
• Домен 2. Безопасность активов
• Домен 3. Архитектура безопасности и инженерия
• Домен 4. Связь и сетевая безопасность
• Домен 5. Идентификация и управление доступом (IAM)
• Домен 6. Оценка безопасности и тестирование
• Домен 7. Операции безопасности
• Домен 8. Безопасность разработки программного обеспечения

Другие области

Безопасность приложений – область 2

В этой области, на основе программного обеспечения мер безопасности, разработки программного обеспечения и, в частности, программного обеспечения жизненного цикла суммируются.

Планирование обеспечения непрерывности бизнеса и аварийного восстановления – область 3

На основе анализа влияния на бизнес (BIA) стратегии реагирования и меры перезапуска запрашиваются в Домене 3. Сюда входят, в частности, меры по управлению непрерывностью бизнеса (BCM) и план аварийного восстановления (DRP).

Криптография – Область 4

Криптология делятся на две основных областях криптографии и криптоанализ (буквальный перевод из Cryptography будет неприемлемым ограничение тематическим). Важные понятия, такие как B.

Правовые нормы, правила, соответствие и расследования – область 6

В частности, в Домене 6 вступают в игру юридические отличия от европейского региона. Немецкое право не играет роли в экзамене. Различия особенно значительны в области Федерального закона о защите данных (BDSG). Закон США составляет основу.

Безопасность операций – Зона 7

В этом разделе в основном рассматриваются темы из области управления ИТ . Управление носителями, стратегии резервного копирования и управление изменениями проверяются в Домене 7.

Физическая (экологическая) безопасность – Область 8

Физическая безопасность часто не считается частью информационной безопасности . Противопожарная защита , безопасность сайта и безопасность – важные темы для экзамена CISSP .

Архитектура и дизайн безопасности – Область 9

Область 9 посвящена надежным системам и надежным вычислениям . Дополнительные темы – это архитектура системы и предприятия .

Другие темы

В дополнение к темам, упомянутым до сих пор в Домене 1, существует много других тем, касающихся безопасности. Принцип « четырех глаз» или разделение обязанностей вводится в качестве меры безопасности организации . Эта мера подходит для дополнения и ужесточения других мер.

Безопасный дизайн паролей и кодовых фраз, а также безопасная обработка личных идентификаторов являются частью темы методов идентификации и аутентификации .

Требуются исчерпывающие знания о проверке мер контроля доступа. Это включает в себя знание систем обнаружения вторжений (IDS) , а также безопасной и юридически безопасной эксплуатации специальных ловушек для злоумышленников: так называемые приманок .

Знание различных типов атак проверяется под общим термином « тесты на проникновение» . Сюда входят методы использования ранее неразрешенных ошибок программирования с помощью эксплойтов нулевого дня и фальсификации веб-сайтов путем обмена адресами веб-сайтов ( подмена DNS ).

Тематика опрашивается дополняются вопросы о словаре и методах грубой силы на паролях . В случае словарных атак списки слов опробуются в качестве паролей с помощью программного обеспечения. Метод грубой силы распространяет эту идею на все возможные пароли. Для теста важно иметь возможность поместить эти методы атаки в контекст мер безопасности.

Атаки, направленные на снижение доступности систем, называются атаками отказа в обслуживании (DoS). CISSP должен знать о различных типах DoS-атак. Это включает, например, Б. Знание об атаке смурфов .

Зачем становиться сертифицированным cissp?

Вот Важные причины, почему стоит записаться на сертификационный курс CISSP:

• CISSP — это международный сертификационный курс, не относящийся ни к одной стране. Это дает вам глобальное признание.
• После посещения этого тренинга у вас будут технические знания, способности и навыки для разработки комплексной программы безопасности.
• Вы можете выделиться среди других кандидатов на сертификацию CISSP для подходящей вакансии на рынке информационной безопасности.
• Вы будете иметь доступ к ценным ресурсам карьеры, которые включают в себя создание сетей и обмен идеями со сверстниками.
• Это также дает вам возможность подтвердить свои навыки и компетенции, которые вы приобрели за годы работы в мире кибербезопасности.
• Сертификация CISSP позволяет повысить ваш авторитет, может предоставить вам безопасную работу.
• Вы расширите свои знания в области кибербезопасности, зарегистрировав сертификат CISSP.
• Сертификация CISSP подтверждает, что вы способны разрабатывать политики, стандарты и процедуры информационной безопасности.
• Позволяет вам присоединиться к профессиональной организации и общаться с единомышленниками.
• Наслаждайтесь привилегиями, такими как бесплатная подписка на журнал InfoSecurity Professional, 50% (ISC) ² учебников, посещайте вебинары, цифровые значки для демонстрации опыта.

Информационная безопасность и управление рисками – область 5

Для экзамена CISSP задаются основы триады ЦРУ. Это ключевое слово обобщает термины конфиденциальность, целостность и доступность (немецкий: конфиденциальность , целостность , доступность ). Под целостностью подразумевается защита от потерь и защита от преднамеренных изменений. Еще одно требование – отслеживаемость работы системы и конфиденциальность .

Большая часть экзамена занимается вопросами о управлении видом информационных систем . Это включает в себя тему управления рисками , анализ безопасности и управление безопасностью . В отличие от других подходов, экзамен CISSP фокусируется на безопасности информационных систем .

Опрашиваются модели классификации информации в государственном управлении (включая военное ) и частном секторе . Немаловажны и кадровые меры. Ротация рабочих мест вводится как часть CISSP в отношении предотвращения коррупции .

Меры безопасности при описании должностных обязанностей, а также составление соглашений о конфиденциальности входят в объем проверки. Чтобы повысить приемлемость мер безопасности, исследуются возможности программ повышения осведомленности о безопасности .

CISSP-CBK требует обширных знаний отраслевых стандартов в области информационной безопасности и ИТ-безопасности . Наиболее важными из них являются стандарты серии ISO / IEC-27000 , ITSEC , Common Criteria , COBIT и TCSEC , которые освещают тему безопасности с разных точек зрения. Сертифицированный CISSP должен уметь выбирать правильный стандарт для конкретных ситуаций.

Каковы предпосылки для сдачи экзамена cissp?

Чтобы получить сертификат CISSP, кандидаты должны иметь опыт работы не менее пяти лет в нескольких (двух или более) доменах CISSP. Платные и неоплачиваемые стажировки являются приемлемыми формами опыта работы. Соответствующее образование может заменить максимум один год опыта, но есть ограничения.

Четырехлетнее высшее образование или эквивалент может считаться одним годом опыта работы. Кроме того, соответствующие (ISC) 2 утвержденные учетные данные, такие как сертифицированный тестер проникновения (GPEN) или сертифицированная Cisco Associate Security (CCNA Security), могут считаться одним годом опыта работы.

Если вам интересно, на какие сертификаты вы должны стремиться до CISSP, на самом деле есть много путей, которые вы можете выбрать. Тем не менее, один популярный маршрут – это получить CompTIA Network и CompTIA Security , прежде чем следовать (ISC)

Кто должен пройти сертификацию cissp?

Сертификационный тренинг CISSP важен для следующих специалистов:

• Директор по информационной безопасности
• Директор по безопасности
• Сетевой Архитектор
• Консультант по безопасности
• Менеджер по безопасности
• Аудитор безопасности
• Аналитик безопасности
• ИТ директор / менеджер
• Управление облачной безопасностью
• Инженер систем безопасности

Лучшие курсы к экзамену cissp

Шпаргалки и учебные пособия выше могут помочь вам в подготовке к экзамену. Но вам могут понадобиться более углубленные курсы, которые научат вас всему содержанию сертификации CISSP. В зависимости от того, где вы находитесь, вам может быть доступно обучение в классе. Тем не менее, эти программы не доступны для всех, и часто могут стоить тысячи долларов за место.

Другой вариант – пройти онлайн-курс, и, хотя многие из них также дороги, некоторые вообще не обанкротят банк. С таким количеством доступных может быть трудно выбрать правильный вариант для вас. Вот наши главные рекомендации для курсов, которые имеют полностью онлайн варианты:

1. StationX: полный комплект CISSP
2. Официальный (ISC) ² CISSP Самостоятельное обучение
3. Simplilearn: Сертификация CISSP
4. Кибернетика: CISSP
5. SANS: MGT414: Программа обучения SANS для сертификации CISSP®
6. Global Knowledge: подготовительный курс к сертификации CISSP
7. Infosec: сертификационный учебный лагерь CISSP

Давайте подробнее рассмотрим каждый из них и что они могут предложить.

Модели безопасности

Правила и структуры, позволяющие принять решение о доступе, называются моделями безопасности . Они регулируют отношения между субъектами, объектами и операциями . Для теста, в частности, запрашиваются модели, показанные ниже, и их функции.

Во-первых, проводится различие между несколькими базовыми моделями, некоторые из которых перешли в усовершенствованные модели. Целью машины, ориентированной на состояние, является постоянное безопасное состояние системы. Для этого модель работает в четко определенных состояниях.

Модель информационных потоков выделяется, прежде всего, информационными потоками, имеющими место между уровнями многослойных моделей. В качестве дополнительной базовой модели модель Гогуэна-Месегера или модель невмешательства направлена ​​на предотвращение выводов между уровнями.

Модель Кларка-Уилсона направлена ​​на обеспечение целостности и преследует все три цели честности. В равной степени предотвращаются недопустимые модификации неавторизованными пользователями , недопустимые модификации авторизованными пользователями, а также внутренние и внешние несоответствия.

Благодаря многоуровневой модели Bell-LaPadula , основанной на условиях , конфиденциальность обеспечивается. Эти два правила не читать и не записывать применяются к предметам между уровнями . Модель Biba , которая также является многослойной, преследует первую цель целостности – недопустимые модификации неавторизованными пользователями. Эти два правила не записывать и не зачитывать применяются к предметам между уровнями .

Модель Брюера-Нэша или модель Великой Китайской стены адаптирует права доступа пользователя динамически и с ориентацией на действия, чтобы предотвратить возможные конфликты интересов .

Модель Грэма-Деннинга, ориентированная на отношения, предоставляет базовый набор инструкций для операций между субъектами и объектами и, как и модель Харрисона-Руццо-Ульмана, которая специализируется на изменении закона, создании и удалении субъектов и объектов, следует практико-ориентированной модели. подход.

Модели контроля доступа

Модели контроля доступа тесно связаны с моделями безопасности. Здесь также делается упор на доступ субъектов к объектам. Они используются для реализации правил и целей общей политики безопасности.

Три основных модели контроля доступа для экзамена CISSP – это открытая, закрытая и ролевая модели.

Пример

списка контроля доступа

Модели открытого контроля доступа или модели дискреционного контроля доступа (DAC) позволяют владельцу объектов контролировать тип и объем доступа. Обычно это делается с помощью списков контроля доступа (ACL), в которых права назначаются в соответствии с принципом служебной необходимости .

С другой стороны, модели закрытого управления доступом или модели принудительного управления доступом (MAC) освобождают субъект от принятия решений об управлении доступом . У каждого объекта есть идентификатор безопасности, который используется для регулирования доступа. Если у субъекта нет необходимого разрешения, доступ не может быть предоставлен.

Модели на основе ролей или модели управления доступом на основе ролей (RBAC) принимают решение о доступе на основе специальных ролей или групп. Субъекты классифицируются в этой системе в RBAC и, таким образом, получают свои права. Назначенный объект наследует права соответствующей роли или группы.

Модели DAC, MAC и RBAC можно использовать вместе и объединять в единую систему. Они реализуются через физические, административные, логические элементы контроля доступа и управления доступом на основе данных.

Навыки, разработанные после сертификации cissp

По окончании сертификационного курса CISSP вы будете:

• Вы должны уметь определять архитектуру, дизайн и управление безопасностью вашей организации.
• Вы приобретете соответствующие знания и навыки, чтобы стать квалифицированным сертифицированным профессионалом CISSP.
• Развивать рабочие знания в 8 областях, рекомендованных CISSP Общей совокупностью знаний (CBK)
• Узнайте о системах контроля доступа, безопасности и методологии программного обеспечения
• Возможность оптимизации операций безопасности

Получение сертификата cissp

Процесс сертификации состоит из нескольких частей. Прежде всего, вы должны сдать экзамен по восьми предписанным областям знаний, к которым вы можете подготовиться путем обучения или самостоятельной работы . Затем начинается собственно процесс сертификации.

Для этого профессиональная квалификация кандидатов должна быть подтверждена третьим лицом . Все кандидаты могут быть отобраны для аудита случайным образом, а их технические знания могут быть проверены более подробно. Это необходимо для того, чтобы кандидат действительно приобрел и применил проверенные знания на практике.

Практичный контроль доступа

Распознавание радужной оболочки глаза с помощью портативного устройства

Маркер

безопасности RSA

с одноразовым

паролем

В биометрические контроля доступа представляют собой важную категорию . Варианты актуальны в CISSP экзамен включает испытанные и проверенные методы с отпечатками пальцев , сетчатке и радужной оболочки сканеры, но и более специфических методов , таких как распознавание лиц , геометрии руки , набрав на клавиатуре или отдельных из них акустических систем признание играют роль.

При использовании маркеров аутентификации , карты памяти и смарт – карта более внимательно изучены.

Кроме того, функциональные возможности, преимущества и недостатки средств управления доступом на основе билетов, таких как Б. Одноразовые пароли или решения для единого входа, такие как Kerberos или Европейская безопасная система для приложений, запрашиваются в среде с несколькими поставщиками (SESAME).

С точки зрения методов централизованного управления доступом особый интерес представляют три технологии: RADIUS , TACACS и Diameter. RADIUS – это протокол аутентификации для управления доступом для коммутируемых соединений , который в основном используется поставщиками услуг Интернета .

TACACS предлагает те же функции, что и RADIUS, но предлагает более высокий уровень безопасности благодаря более обширному шифрованию. Однако RADIUS и TACACS не могут использоваться для аутентификации какого-либо устройства, поскольку используемые протоколы ограничены. Протокол Diameter обеспечивает эту дополнительную гибкость .

Пять главных иб-сертификатов

В результате повышенного внимания к вопросам информационной безопасности растет потребность компаний в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя наличие сертификата не говорит о реальном уровне знаний человека, до сих пор во многих компаниях действует принцип «по одежке встречают».

Именно поэтому многие специалисты так стремятся получить заветную бумажку, которая, как они думают, может открыть им двери во многие российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования.

Во-первых, подтверждение собственной квалификации (для себя «любимого»). Иногда это просто тщеславие и желание «похвастаться» перед окружающими. Во-вторых, возможность повышения зарплаты и большие возможности карьерного роста (в т.ч. и получение работы за границей).

На сегодняшний день существует две различных схемы сертификации специалистов в области безопасности, аналогичные схемам обучения. Первая схема не привязана ни к каким продуктам и охватывает различные аспекты той или иной технологии информационной безопасности.

К такой схеме сертификации относится Certified Information System Security Professional (CISSP) или Certified Information System Auditor (CISA). Не менее известной является сдача экзаменов на получение статуса Certified Information Systems Auditor (CISA)

в Information Systems Audit and Control Association (ISACA). Специалист, сертифицирующийся по второй схеме, зависит от конкретного продукта или решения, предложенного конкретной компанией. По такой схеме работают компании Cisco, Microsoft и другие. Существуют и смешанные системы сертификации.

Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется новыми. Самое важное, что текущий экзамен (кстати, сдается он на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях.

Экзамен на получение сертификата CISSP длится 6 часов и состоит из 250 вопросов, сгруппированных в 10 тем (т.н. доменов):

• разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.);
• сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и т.п.);
• процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);
• разработка безопасных приложений (вредоносный код, разработка ПО);
• криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);
• архитектура безопасности (модели безопасности и ее оценки, Общие критерии и т.д.);
• эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т.п.);
• непрерывность бизнеса (оценка ущерба, восстановление работоспособности);
• законодательство (законы, расследование инцидентов);
• физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).

Сдав экзамен, вы получаете сертификат, однако свой статус придется каждые 3 года. Это можно сделать двумя способами: повторной сдачей экзамена или «добычей» 120 так называемых кредитов, которые «зарабатываются» написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т.п.

Аналогичная схема действует и для многих других сертификаций по информационной безопасности и она оправдана —  технологии и ситуация на рынке меняется очень быстро. А значит «почивать на лаврах» не придется —  необходимо заниматься самообразованием и быть всегда в курсе последних новинок в данной области.

На сегодняшний день интерес к этому статусу в России очень высок. Если до 2003 года в России насчитывалось всего 2 сертифицированных эксперта, то сегодня на сайте ISC2 размещено 33 резюме тех, кто согласился открыть информацию о себе —  реально же их в 1,5-2 раза больше, и это число будет только расти.

Аудиторию для данной сертификации составляют средний и высший уровень руководства в области информационной безопасности — архитекторы по безопасности, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.

Статус Systems Security Certified Practitioner (SSCP) был разработан консорциумом ISC2 для тех, кто пока не может сдать экзамен на статус CISSP или только готовится к нему, а также для тех, кто не стремится на руководящие позиции и ему не требуется более высокий статус от ISC2.

Учитывая одного прародителя, сертификация SSCP очень похожа на CISSP за небольшим исключением.Во-первых, вместо 10-ти доменов экзаменуемые проверяются всего по 7-ми: разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.), безопасность данных, администрирование безопасности, криптография, аудит и мониторинг, вредоносное ПО, управление рисками, реагирование и восстановление.

Во-вторых, число вопросов сокращено вдвое —  до125, также вдвое сокращено и время на экзамен —  до 3 часов. И, наконец, для сдачи данного экзамена необходим опыт работы в течение 1-го года по специальности (вместо трех).

В обоих случаях (CISSP и SSCP) получению статуса предшествует подписание этического кодекса поведения (Code of Ethics), который описывает, как себя должен вести обладатель престижного сертификата. Такое требование является обязательным при получении многих сертификатов, например, CISA.

Учитывая, что статус SSCP является только остановкой на половине пути к CISSP и то, что появился он позже последнего, то абсолютное большинство российских специалистов стремится именно к CISSP —  на сайте ISC2 зарегистрирован только один российский обладатель сертификата SSCP.

Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты.

В 1969 году была основана Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), которая на сегодня является признанным лидером в управлении, контроле и поддержке информационных систем, продвижении открытого стандарта CoBIT и ратует за стандартизацию в области ИТ.

Структура экзамена cissp

Основой экзамена является Общий свод знаний (CBK) , который состоит из восьми предметных областей (доменов ).

Это экзамен с несколькими вариантами ответов. На 250 вопросов из восьми отделений CBK необходимо ответить в течение шести часов. Речь идет о быстрых ответах на вопросы, ответ на которые следует усвоить с помощью соответствующих методов обучения .

Вопросы построены по очень конкретной схеме . Основная идея экзамена – задавать только так называемые закрытые вопросы . Следовательно, каждый вопрос должен быть сформулирован таким образом, чтобы при четырех возможных вариантах ответа ровно один был правильным.

С 2005 года экзамен можно сдавать и на немецком языке . Так как вопросы экзамена очень часто нацелены на определения и описания с использованием очень специальной лексики и определенных ключевых слов , чисто немецкий экзамен не рекомендуется.

Хотя официальные анкеты не являются общедоступными и поэтому не могут использоваться для подготовки к экзаменам, в книгах и в Интернете есть практические вопросы. Вопросы, на которые нужно ответить здесь, дают хорошее первое впечатление о глубине и качестве вопросов, которые часто похожи на официальные вопросы. В результате этот тест иногда приводит к неправильным типовым ответам. Здесь рекомендуется соблюдать осторожность.

Требования к повторной сертификации

Чтобы сохранить свой сертификат, CISSP должен пройти непрерывное профессиональное образование (CPE), чтобы заработать 120 баллов CPE за трехлетний период. Есть целый ряд различных вариантов на выбор. Большинство точек CPE приводит к педагогической деятельности в области безопасности (4 балла за час, максимум 80), публикации в статьях или книгах (максимум 40 баллов) и самообучение , максимум 40 баллов, или чтение книг , связанных с безопасностью, с максимум 30 баллов.

Дальнейшее обучение включает посещение учебных курсов производителей (1 балл в час), участие в конференциях по безопасности (1 балл в час) и курсов в университетах в области безопасности (11,5 баллов за сертификат).

Участие в профессиональной политике или почетных должности также вознаграждено: членство в совете в профессиональной ассоциации в области безопасности с максимум 20 баллов и добровольной работой на (ISC) ² по своему усмотрению.

Учебные пособия cissp и практические тесты, которые помогут вам подготовиться к экзамену

Если у вас есть базовые знания, но вы не совсем на том уровне, где все, что вам нужно, это шпаргалка, есть несколько удобных учебных пособий, которые помогут вам в подготовке.

Для начала, есть официальные учебные материалы из (ISC) 2. К ним относятся Официальное (ISC) ² Учебное пособие CISSP ², Официальные (ISC) ² Практические тесты CISSP, CISSP для чайников, Официальные приложения для изучения и практики CISSP, а также Официальные флэш-карты CISSP.

Однако, если вы ищете альтернативы, есть несколько отличных ресурсов. Обратите внимание, что многие издатели книг, представленных ниже, предоставляют мобильные приложения для учебных пособий, поэтому вы можете подготовиться к экзамену, находясь в пути..

Учебное пособие:

• CISSP All-in-One Руководство по экзаменам, восьмое издание
• CISSP Учебное пособие 3-е издание
• Одиннадцатый час CISSP®: Учебное пособие, 3-е издание
• Справочник по CISSP (3-е издание) (Руководство по сертификации) 3-е издание
• CISSP для чайников (для чайников (компьютерные технологии)) 6-е издание

Многие из приведенных выше учебных пособий и курсов ниже включают практические тесты и вопросы. Однако, если вы хотите немного дополнительного обучения, вот несколько наборов практических тестов, которые вы можете получить в свои руки.

Дополнительные вопросы практики:

• CISSP Официальный (ISC) 2 практических тестов 2-е издание
• CISSP Практические экзамены, пятое издание, 5-е издание
• CISSP Подготовка к экзамену Вопросы, ответы & Пояснения
• CCCure Quiz Engine

Другие ресурсы, которые вы можете найти полезными при подготовке к экзамену, – это Reddit-сообщество CISSP и подкаст CISSP..

Цели курса сертификации cissp

Вот некоторые цели, чтобы получить этот курс сертификата:

• Ознакомится с (ISC) ² Common Body of Knowledge (CBK), который включает в себя некоторые общие термины, принципы, списки, категории и т. Д.
• Быть знакомым с процессом экзамена CISSP.
• Вы должны иметь возможность разработать план обучения для сдачи и сдачи экзаменационного опыта.
• Помогает вам расширить свои знания о концепциях и практиках безопасности программного обеспечения.
• Стать более конкурентоспособным в конкурентной рабочей силе
• Покажите свою преданность дисциплине безопасности.
• Повышает доверие и ценность сотрудников, поскольку сертификаты безопасности (ISC) ² признаны на международном уровне.
• Повысить авторитет и доброжелательность организации при работе с поставщиками и подрядчиками.
• Предоставляет вам универсальный язык безопасности с общепринятыми в отрасли условиями.