- Что за сертификаты?
- Что нужно знать и понимать?
- Сертификаты в области информационной безопасности: что актуально в рф и за рубежом
- Шаг 2. что с английским?
- «бумажная» безопасность
- Cissp
- Jsa stage company | россия – москва
- Базы вопросов
- Вопросы для оценки необходимости стать сертифицированным специалистом
- Глоссарий терминов
- Дополнительные материалы
- Еще немного об этике
- Как выбрать стандарт, признаваемый gfsi
- Как подготовиться?
- Какие могут быть сложности?
- Книги
- Курсы подготовки
- Мышление ит-аудитора
- Номенклатура сертификатов
- Обращайте внимание на first, last, except, not
- Отбросить бредовый вариант сразу и не тормозить
- Откуда берутся сертификаты?
- Пара лайфхаков
- Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)
- Предложение/спрос
- При пожаре выносить первым!
- Сертификаты ciia, cfa и т.д.
- Сертификация
- Словарный запас
- Списывание
- Сценарий №1 — найти следующего в связке
- Шаг 1. где я?
- Шаг 4. подготовка в последнюю неделю перед экзаменом
Что за сертификаты?
Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.
CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.
CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.
CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.
Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.
Сведем информацию об экзаменах в следующую таблицу:
Что нужно знать и понимать?
Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.
Сертификаты в области информационной безопасности: что актуально в рф и за рубежом
Нерассмотренным остался класс сертификатов, которыми в большей мере пользуются технические ИБ-специалисты. Подтверждение квалификации в области администрирования и конфигурации какого-либо оборудования — основная задача сертификатов данного типа.
Поскольку вендоров на рынке представлено великое множество, сперва может показаться, что выбрать некое ограниченное множество действительно значимых сертификатов — задача непростая. В данном случае можно пойти по одному из двух путей:
1. Получить сертификат одного из «мастодонтов» рынка IT — к подобным можно отнести Cisco с сертификациями CCNA, CCNP и CCIE Security, Microsoft с сертификациями MCSA и MCSE, наконец, Red Hat c сертификациями RHCSA и RHCE. Два наиболее существенных плюса данного подхода: а) возможность получения работы в компании, выдавшей соответствующий сертификат; б) признание со стороны профессионального сообщества, как следствие — более высокий интерес со стороны большого числа компаний, находящихся в поиске нового сотрудника с определённым уровнем квалификации.
2. Получить узкоспециализированный сертификат — в качестве примера можно привести сертификат технического специалиста UserGate, аналогичный сертификат для специалиста по технологии ViPNet и так далее. Интерес к подобного рода сертификации обычно возникает в том случае, когда компании необходимо получить доступ к работе с продуктами некоторого вендора — для этого в штате выделяется сотрудник, который проходит необходимый обучающий курс, в результате чего компания достигает свою цель. Если говорить о получении подобного сертификата специалистом исключительно для себя, то в качестве одной из немногих возможных причин видится нацеленность на работу в компании, которой требуется технический специалист, знакомый с оборудованием конкретного вендора. В остальных случаях лучше будет присмотреться к предыдущему «пути».
В завершение хочется сказать о том, что, как и везде, «плохих», «ненужных» или «лишних» сертификатов в сфере ИБ нет — процесс обучения важен для сотрудника любого профиля, как важно и то, чтобы этот процесс был непрерывным. Но рынок, как известно, диктует свои правила, а значит путь ИБ-специалиста в некотором смысле предопределен.
Никита Мулаков
Руководитель направления аудита и консалтинга, Акрибия
Шаг 2. что с английским?
Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.
«бумажная» безопасность
Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.
Cissp
Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора.
На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.
Jsa stage company | россия – москва
Компания JSA была основана в Москве 17 сентября 1996 года. Сначала это была небольшая площадь (два стола три стула), арендованная у друзей на улице Петровка и в ней было три сотрудника (Александр Стрижак, Светлана Пивушкова, Денис Васильев). Особая благодарность Алексею Алесковскому за его партнерство и поддержку в первые годы запуска компании и становления на рынке.
Постепенно деятельность компании расширялась и в начале 1997 года, был арендован небольшой офис. 19 марта 1997 года компания получила новую регистрацию в качестве ООО “Джей Эс Эй”. В 1998 году, после увеличения числа сотрудников, компания переехала в полноценный функциональный офис в центре Москвы на Полянке. В 2001 году JSA закрепилась в бизнес-центре ТЕЛЕКОМ во Втором Спасоналивковском переулке, который впоследствии стал известным на рынке, как один из основных центров деловой активности в индустрии. В то же время компания приобрела номер для офисного телефона – 748 48 48, который стал легендарным номером, как главный в сценическом бизнесе.
Офис Москвы в основном был штаб-квартирой и «гибким пространством» для бизнес-процессов. В разное время там были: команда общего управления производством проектов, управление постановкой конструкций, инженерным бюро, отделом продаж, управлением финансов, концертным агентством и услугами по продаже билетов.
Президентом JSA Stage Company является Александр Стрижак (основатель, владелец, главный исполнительный директор и большой босс)
В Московском Главном офисе Компании в разное время работал:
- Яна Аппазова (Гугунава)
- Алексей Котельников
- Юрий Стрижак
- Павел Воронин
- Татьяна Старостина
- Константин Краснопёра
- Наталья Стельмашенко
- Анна Шувалова
- Настя Оснас
- Сергей Шишкин
- Максим Сорокин
- Фёдор Ибрагимов
- Виталий Блонский
- Юрий Заварзин
- Валерий Феофанов
- Ирина Косова
- Андрей Безбородов
- Денис Горбунов
- Михаил Савельев
- Мария Савельева
- София Белоненко
- Андрей Джура
- Ярослав Синица
- Елена Гуськова
- Анжела Таашева
- Вера Станчитс
- Дмитрий Яблоков
- Андрей Дубковс
- Игорь Смирнов
- Наталья Лукьянова (Корчагина)
- Наталия Козьмина
- Евгений Давыдов
- Василий Карпенко – умер в 22.08.2009 (сбит пьяным водителем на дороге в родном городе – Одессе)
- Алексей Зотов
- Светлана Таганова
- Юрий Краснокутский
- Евгений Кривцов
- Андрей Ксенофонтов
- Денис Васильев
- Денис Стасков
- Сергей Рыбинский
- Виктор Воробьёв
- Константин Брянка
- Ольга Шувалова
- Глеб Харченко
- Алексей Кудрявцев
- Илья Чударин
- Юрий Едлин
- Аркадий Едлин
- Галина Зенкова
- Сергей Зеленихин
- Вероника Беляева
- Мария Голикова
- Леонид Басин
- Владимир Мигаль
В 2021 году офис был закрыт по причине влияния Кризиса и начавшихся изменений происходящих внутри страны. Поэтому у компании был перерыв в деятельности имела некоторые сложности с осознованием себя в новых политических реалиях. Весной 2021 года Александр Стрижак вернулся в бизнес и открыл новый офис в другом месте на Красной Пресне в Москве. В 2021 году после начала событий на Украине JSA окончательно прекратила свою деятельность в России.
Управляющий директор – Александр Стрижак
В этот недолгий период в компании работали:
- Юрий Стрижак
- Сергей Тепляков
- Вячеслав Сыпченко
- Дмитрий Хажайнов
- Светлана Коваленко
- Светлана Семёнова
- Сергей Захаваев – был убит в январе 2021 года в Москве при невыясненных обстоятельствах
- Александр Ферд
- Евгений Лущаенко
- Александр Эйчес
- Алексей Каленский
- Николай Конопаткин
- Юрий Стрижак (старший)
- Анна Ермолаева
Базы вопросов
Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену.
Вопросы для оценки необходимости стать сертифицированным специалистом
Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.
У меня получился такой «аудиторский» чеклист:
- Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
- На работе занимаетесь проектами по большинству тем экзамена?
- Без словаря читаете английские статьи на профессиональные темы?
- Есть желание двигаться по карьерной лестнице вверх?
- Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
- Хоть немного ощущаете себя настоящим менеджером?
- Готовы к тому, чтобы жить и работать в столице?
Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.
Глоссарий терминов
Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте
. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).
Дополнительные материалы
По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (
Еще немного об этике
И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.
Как выбрать стандарт, признаваемый gfsi
Как выбрать стандарт, признаваемый GFSI, который подходит именно вам?
GFSI (на английском – Global Food Safety Initiative) – это инициатива по безопасности продуктов питания, цель которой– улучшать системы контроля безопасности продуктов питания, чтобы дать потребителям со всего мира уверенность в качестве продукции.
GFSI – это не сертификат или стандарт. Это инициатива, которая вырабатывает требования к сертификатам и стандартам.
Ее плюс в концепции «Сертифицирован однажды – признан везде». Таким образом, присоединившиеся к инициативе компании признают сертификаты всех стандартов GFSI. Это, в свою очередь, снижает число необходимых сертификатов и сокращает количество проверок.
Как работает GFSI? Организация позволяет сотрудничать ведущим экспертам со всего мира. Это производители и поставщики продуктов питания и сопутствующих услуг, представители торговых компаний, ученые и эксперты, а также члены правительств и международных организаций.
GFSI предъявляет требования к стандартам и схемам сертификации, соответствовать которым нужно для их признания.В настоящее время это:
BRC Global Standard, GLOBAL G.A.P Integrated Farm Assurance, Harmonised Produce Safety Standard, HOP Sub-scope,
FSSC 22000, Global Aquaculture Aliance, Global Red Meat Standard, IFS Food Standard, SQF,
Primus GFS Standard, CanadaGAP,
ASASIAGA, JFS-C Standard и др.
Чтобы получить сертификат GFSI, нужно:
• Обозначить сферу деятельности вашей компании и выбрать подходящую схему, признаваемую GFSI
• Связаться с представителями схемы и запросить перечень сертифицирующих органов, занимающихся аудитом по выбранной вами схеме.
Как выбрать стандарт, признаваемый GFSI, который подходит именно вам?
Рассмотрим 4 основных стандарта:
FSSC 22000
BRC
SQF
IFS
Доля каждого из этих 4 стандартов (в мире):
Итак, BRC- самый распространенный из этих стандартов. За ним следует IFS, который больше всего распространен в Европе, но его узнаваемость сейчас растет в США. Доля FSSC примерно такая же, среди применяющих его регионов на первом месте Латинская Америка и Азия. SQF плохо позиционирован в Европе, его применяют в основном в Северной Америке, Австралии и Японии.
В целом, каждый стандарт включает 3 части:
-Пищевая безопасность
-Основные элементы системы менеджмента (документированные процедуры, управление кризисными ситуациями, корректирующие действия, предотвращение мошенничества)
-Программы предварительных мероприятий.
- В каких сферах может применяться стандарт:
| Пищевая продукция | Упаковывание | Дистрибуция и логистика | Брокеры | Ритейл | |
| BRC | V | V | V | V | V |
| IFS | V | V | V | V | V |
| SQF | V | V | V | V | |
| FSSC 22000 | V | V | V |
- Возможность разделить и сертифицировать отдельно вопросы пищевой безопасности и качества:
| Пищевая безопасность | Качество | |
| BRC | Только вместе | |
| IFS | Только вместе | |
| SQF | SQF Food Code | SQF Quality Code |
| FSSC 22000 | FSSC 22000 | FSSC 22000-Q |
Как вы видите, возможность разделить и отдельно сертифицировать требования по качеству и по пищевой безопасности есть только в случае стандартов IFS и FSSC 22000.
- Для каких типов продукции применяется стандарт, если вы сертифицируете процесс упаковывания или дистрибуции:
| Пищевая | Непищевая | |
| BRC | V | V |
| IFS | V | V |
| SQF | V | |
| FSSC 22000 | V |
- Детализация стандарта уменьшается от BRC к FSSC. То есть, в BRC детально описано, что нужно сделать, чтобы соответствовать требованиям, а FSSC в этом смысле детализирован меньше всего. В то же время, FSSC самый “гибкий” стандарт в плане выбора способа доказательства соответствия требований, а BRC- наименее “гибкий”. Поэтому, стандарт FSSC выбирают в основном крупные холдинги (этот стандарт содержит более общие формулировки и маленьким компаниям не всегда понятно, что нужно делать, чтобы достичь соответствия); BRC часто удобен как раз небольшим предприятиям в силу своей детализации.
- Время, которое вам предоставят на написание плана корректирующих мер и его внедрение.
Написание плана корректируюших мер:
| 30 дней | 60 дней | 90 дней | |
| BRC | V | ||
| IFS | V | ||
| SQF | V | ||
| FSSC 22000 | V |
Внедрение корректирующих мер:
| 30 дней | 360 дней | |
| BRC | V | |
| IFS | V | |
| SQF | V | |
| FSSC 22000 | V |
То есть, если вы знаете, что на предприятии есть несоответствия, устранение которых потребует длительного времени, инвестиций, то удобнее в этом смысле стандарты IFS и FSSC, так как они дают наиболее длительный период на устранение несоответствий.
- Как часто проводится повторный аудит:
При низком балле
| Через 6 мес | Через 12 мес | |
| BRC | V | |
| IFS | V | |
| SQF | V | |
| FSSC 22000 | V |
При высоком балле
| Через 6 мес | Через 12 мес | |
| BRC | V | |
| IFS | V | |
| SQF | V | |
| FSSC 22000 | V |
- Анонсированный аудит или неанонсированный:
FSSC – неанонсированный аудит минимум раз в 3 года
BRC -вы сами решаете
SQF – неанонсированный аудит минимум раз в 3 года
IFS – вы сами решаете
При любой из этих схем все аудиты могут быть неанонсированными по вашему желанию.
Также иногда ваши клиенты могут потребовать прохождения именно неанонсированных аудитов.
- Сколько будет длиться аудит:
это четко описано в каждом стандарте и зависит от размера предприятия, количества сотрудников и т. п., также эту информацию можно узнать у органа по сертификации.
- Доступность стандарта
| Бесплатный стандарт | Гид- интерпретеция | Чеклист(ы) | |
| BRC | V | V ( платно) | V |
| IFS | V | Есть в самом стандарте | V |
| SQF | V | V | V |
| FSSC 22000 | V | V | V |
- Интерпретация результата аудита:
IFS, SQF- дают результат аудита в %
BRC- в буквенном выражении (A, B, C, D, E)
FSSC- не дает ни цифрового, ни буквенного результата, только “прошел/не прошел”.
- Как клиенты узнают о сертификации:
SQF, BRC и FSSC имеют общедоступную базу данных, где любой желающий может увидеть сертификат компании, орган по сертификации, результат аудита, дату следующей сертификации и т. п.
- Прочтите каждый стандарт, обратите внимание на его структуру, соответствие потребностям и культуре вашей компании, “гибкость” требований.
- Примите во внимание запросы рынка: например, если вы планируете экспортировать товар, уточните, какие стандарты предпочтительны в тех странах.
А также запросы ваших клиентов, так как они могут предпочетать какой-то конкретный стандарт и даже конкретный орган по сертификации.
Статья содержит материалы от источника:
https://www.ifsqn.com/forum/index.php/files/file/327-how-to-select-a-gfsi-certification-scheme-that-is-best-for-my-company
Читайте также о том, зачем и как проводчт социальный аудит.
Как подготовиться?
Исходя из собственного опыта подготовки к экзаменам и проведения
предлагаю следующий алгоритм.
Какие могут быть сложности?
Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.
Книги
Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года).
, и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».
Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP
– пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).
Курсы подготовки
Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.
Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).
Мышление ит-аудитора
Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».
Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.
Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.
Номенклатура сертификатов
Давайте рассмотрим, какие сертификаты X.509 встречаются в природе, если рассматривать их по расположению в
пищевой
цепочке доверия.
По степени
крутизны
дороговизны и надежности сертификаты делятся на 3 вида:
DVOVEV
Обращайте внимание на first, last, except, not
Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.
Отбросить бредовый вариант сразу и не тормозить
Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой.
Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу.
Откуда берутся сертификаты?
Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.
- Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.
- Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
- Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.
Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.
openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pemДалее, создает CSR — запрос на подписание сертификата.
openssl req -new -sha256 -key private.key -out server.csr -days 730И подписываем.
openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crtРезультат можно посмотреть командой:
openssl x509 -text -noout -in public.crtOpenssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:
openssl -help
openssl x509 -help
openssl s_client -helpРовно то же самое можно сделать с помощью java утилиты keytool.
keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048Следует серия вопросов, чтобы было чем запомнить поля owner и issuer
What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?Конвертируем связку ключей из проприетарного формата в PKCS12.
keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12Смотрим на результат:
Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
MD5: B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB 92 44 9D 95 47 94 E4 97 0.X..v...D..G...
0010: C8 1E F1 92 ....
]
]Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.
subjectKeyIdentifier EXTENSION ::= {
SYNTAX SubjectKeyIdentifier
IDENTIFIED BY id-ce-subjectKeyIdentifier
}
SubjectKeyIdentifier ::= KeyIdentifierПара лайфхаков
В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.
Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)
Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов:
Предложение/спрос
Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже
и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.
В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.
Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)
По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).
Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:
Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.
Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.
При пожаре выносить первым!
Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.
Сертификаты ciia, cfa и т.д.
Для того, чтобы стать «CFA Charterholder» кандидат должен сдать три шестичасовых экзамена, иметь степень бакалавра (или её эквивалент) и иметь 48 месяцев опыта работы, связанной с принятием инвестиционных решений.
[править]
Экзамены CFA
Экзамены проводятся одновременно по всему миру на английском языке без возможности использования словаря. На постсоветском пространстве июньские экзамены принимаются в Москве, Киеве, Баку, Алма-Ате и Риге[1], а декабрьские экзамены — только в Москве[2].
Экзамен 1-го уровня проводится два раза в год — в июне и декабре. Экзамены 2-го и 3-го уровней проводятся только один раз в год — в июне. Стоимость регистрации на каждый экзамен в июне 2021 года составляет $630-$970 (в зависимости от даты оплаты); кроме того, новички уплачивают дополнительно сбор в размере $405-$490[3].
Успешная сдача экзаменов — довольно сложная задача. Об этом свидетельствуют данные о доле успешно сдавших экзамены в июне 2000-2021 гг.
… а, что Вам некуда девать деньги? Некоторые имеют такой,
но на вопрос про инвестиции отвечают крайне плохо…
Сертификация
Новые экзамены призваны обеспечить актуальность и обоснованность получения профессиональных статусов
Международный Институт внутренних аудиторов (IIA), лидер в области методической поддержки и программах обучения внутренних аудиторов, объявил об изменениях в программах сертификации в области обеспечения управления рисками (CRMA) и Internal Audit Practitioner (часть 1 CIA) на 2020 год для удовлетворения меняющихся требований к профессиональной практике внутреннего аудита.
Чтобы идти в ногу с динамичными глобальными рисками, IIA перезапустит экзамен CRMA в октябре 2020 года, отразив в нем глубокие организационные знания и передовые наборы навыков, которые необходимы для успешного обеспечения управления рисками.
CRMA будет включать в себя новый экзамен на английском языке, а также обновленные предварительные условия и требования к опыту. CRMA, единственная сертификация системы управления рисками для внутренних аудиторов во всем мире, будет позиционироваться как дальнейшее карьерное развитие внутренних аудиторов, уже получивших сертификацию CIA. Действующие требования CRMA останутся в силе до даты вступления нововведений в силу.
Изменения в программе Internal Audit Practitioner (часть 1 CIA), которые должны вступить в силу 1 марта 2020 года, включают введение нового экзамена и отмену требования об образовании как для новых кандидатов, так и для тех, кто уже получил статус IAP. Кроме того, был снижен регистрационный взнос при подаче заявок на сдачу Internal Audit Practitioner (часть 1 CIA).
Для получения дополнительной информации, в т.ч. всех изменениях, вступающих в силу в 2020 году, посетите страницу CRMA или страницу Internal Audit Practitioner (часть 1 CIA) на сайте IIA.
Оригинал новости
Словарный запас
Определение X.509 сертификатов есть в архиве ITU-T
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version MUST be v2 or v3Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.
Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.
Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.
Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией.
Списывание
У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.
Сценарий №1 — найти следующего в связке
Связка сертификатов — Объединение нескольких X.509 сертификатов в один файл, чаще всего в формате PEM. Связка передается по сети в момент протокола рукопожатия SSL/TLS.
Самый сок начинается, когда имеете дело со связкой сертификатов, a. k. a certificate chain. Часто просматривая лапшу в связке ключей jks непросто понять как найти родительский сертификат, когда там россыпь новых и старых сертификатов на несколько доменных имен.
Шаг 1. где я?
Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».
Шаг 4. подготовка в последнюю неделю перед экзаменом
Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.